Android : Google a payé 550.000 dollars en primes pour les bugs trouvés

Par

le

Google célèbre le premier anniversaire de son programme « Android Security Rewards », avec 250 bugs trouvés et 550.000 dollars payés à ce jour.

Combien vaut la sécurité de votre appareil Android? Eh bien, Google a dépensé environ 550.000 dollars en primes pour la chasse aux bugs de son programme « Android Security Rewards », lancé il y a un an. Selon la façon dont vous voyez la plate-forme, cette somme pourrait être plus que suffisante ou, en fait, trop peu élevée. Peu importe, Google augmente même la prime destinée aux rapports de vulnérabilité de haute qualité pour veiller à ce que la sécurité d’Android ne devienne pas une blague dans l’industrie mobile, bien que certaines mauvaises langues ne se sont pas privées pour le dire.

Les entreprises ont été plus entreprenantes dans la chasses aux bugs et failles de sécurité. En plus des (et je l’espère pas à la place des) équipes de Google, certaines entreprises ont mis en place des systèmes de récompenses, plus formellement appelés «Vulnerability Reward Program » pour donner aux «hackers blancs» (ou «white hat») et chercheurs en sécurité une incitation financière pour signaler de tels problèmes au lieu de, vous savez, les exploiter.

Google a mis en place un VRP depuis longtemps, mais c’est seulement l’année dernière que l’entreprise a ajouté Android à son programme. Depuis, Google a reversé 550.000 dollars à 82 personnes qui ont rapporté ces vulnérabilités, avec une moyenne de 6.700 dollars par faille. Parmi ceux-ci, le plus actif est « @heisecode », avec 26 rapports qui lui ont rapporté 75.750 dollars. Heureusement pour Google, personne n’est parvenu à casser les services de sécurité TrustZone et Verified Boot de l’OS mobile. Pour rappel, une brèche trouvée vaut 30 000 dollars.

Cependant, la sécurité Android est souvent le sujet favori des critiques de la plate-forme, et parfois ses fans les plus hardcore. D’ailleurs, le fiasco Stagefright de l’année dernière n’a fait que renforcer cette image. Parmi les 250 rapports reçus, Google a expliqué que plus d’un tiers concernaient le module Media Server.

Et pour faire face à la nécessité sans cesse croissante de chasseurs de bugs, Google fait monter les enchères. Un rapport de vulnérabilité de haute qualité, avec une preuve de concept, sera maintenant fixée à 4.000 $, au lieu de 3.000 $. Une récompense pour une faille sur le kernel passe de 20.000 à 30.000 dollars. Et pour TrustZone et Boot Verified, le montant est de 50.000 dollars.


Articles recommandés