Google lance un programme de récompenses pour la découverte des failles Android

Permettant de gagner jusqu'à 40 000 dollars

Il y a quelques heures de cela, Google vient de lancer un programme visant à récompenser les chercheurs et autres entités qui parviennent à découvrir des failles dans le système d’exploitation Android. Il faut souligner que la firme n’est pas à son premier programme de gratification pécuniaire des personnes ayant trouvé des failles sur les produits de sa plateforme.

Depuis janvier 2010, la firme de Mountain View a lancé son programme de Chrome Reward pour aider à récompenser les chercheurs qui donnent de leurs efforts et temps pour rendre Chrome et Chrome OS plus surs. Une récompense financière de même qu’une reconnaissance publique sont accordées aux personnes qui alertent l’équipe Chrome sur des vulnérabilités.

En novembre 2010, la firme a mis en place un programme similaire baptisé VRP afin de récompenser les personnes ayant détecté des vulnérabilités sur les noms de domaines google.com, youtube.com, blogger.com ainsi que les applications et extensions Google publiées sur Google Play, iTunes, ou Chrome Web store.

Après donc ces deux programmes, voici le troisième programme du géant de la recherche afin d’aider l’équipe du projet Android à renforcer la sécurité du système. À vrai dire, cette décision semble salutaire, car force est de reconnaitre, Android jouit moins de cette bonne image d’OS alliant sécurité que de celle d’un système largement répandu.

Pour prendre donc le taureau par les cornes et combler la mesure de cette mauvaise image de système permissif, Google propose à travers ce programme de récompenser le rapport de bug découvert sur Android à hauteur de 500 dollars pour des bugs modérés, 1 000 dollars pour des bugs élevés et 2 000 dollars pour des bugs critiques. Pour plus de détails sur l’offre complète, vous pouvez vous consulter le tableau ci-dessous.


Par ailleurs, ces montants peuvent être revus à la hausse si plusieurs facteurs entrent en ligne de compte. Par exemple, en cas de succès d’un exploit mettant en avant une vulnérabilité du noyau à partir d’une application installée ou de l’accès au périphérique, la personne à l’origine de l’exploit empoche en plus du gain de base, une somme de 10 000 dollars .

Si l’attaque s’effectue à distance ou à travers un proxy, la personne peut percevoir la somme de 20 000 dollars supplémentaire. Si en plus de ces éléments, vous fournissez des démonstrations de bugs ainsi que des patchs, les montants perçus peuvent largement dépasser les sommes de base proposées et atteindre des montants avoisinant les 40 000 dollars.

Google précise en outre que ce programme de sécurité ne concerne, pour l’instant, que la récente version d’Android , qui est notamment exécutée sur les terminaux Nexus 6 et Nexus 9. La faille peut concerne le code source d’Android (AOSP), les pilotes et bibliothèques logicielles ou encore le Firmware des terminaux.

Source : Google

Et vous ?

Que pensez-vous de ce nouveau programme de récompenses ?