IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

  1. #1
    Expert éminent sénior
    Avatar de Idelways
    Homme Profil pro
    Développeur Ruby on Rails / iOS
    Inscrit en
    Juin 2010
    Messages
    1 374
    Détails du profil
    Informations personnelles :
    Sexe : Homme

    Informations professionnelles :
    Activité : Développeur Ruby on Rails / iOS

    Informations forums :
    Inscription : Juin 2010
    Messages : 1 374
    Points : 68 548
    Points
    68 548
    Par défaut Google : 3 133,7 dollars si vous découvrez une faille majeure sur Chrome et ses applications en ligne
    Google étend la chasse aux vulnérabilités à ses applications en ligne
    3,133.7 $ pour celui (ou celle) qui trouve une faille critique sur Youtube, Orkut ou Blogger

    Mise à jour du 03/11/2010 par Idelways


    Google étend sa récompense à la chasse aux failles (et au trésor vu le montant des récompenses) à ses applications en ligne.

    Par conséquent, le géant des services en ligne lève, dans une démarche plutôt audacieuse, l'interdiction d'essayer de pirater les applications en production sur les domaines Google.com, Youtube, Blogger et Orkut.

    Évidemment dans le seul et unique but d'y trouver des failles. Les chercheurs en sécurité (ou les amateurs de 12 ans) qui en trouvent seront récompensés.


    Le montant des primes va de 500 $ pour un bug à $3,133.7 pour une faille critique trouvée, un chiffre au clin d'œil « so geek » (lire ci-avant).

    L'heureux gagnant verra (s'il le veut) son nom publié dans une sorte de « hacking hall of fame ». De quoi embellir sérieusement un CV.

    Google reste tout de même prudent et n'autorise qu'une liste restreinte d'attaques.

    Exit donc le social engineering ou les attaques par déni de services.

    Seuls les attaques de type : XSS, CSRF, XSSI (cross-site script inclusion), les tentatives de déjouer les contrôles d'authentification, exécuter du code du côté serveur ou injecter des commandes sont autorisés.

    Ce qui fait déjà beaucoup de possibilités.


    Source : blog Google Online Security


    Et vous ?

    Allez-vous chercher des failles sur les applications de Google ?
    Que pensez-vous de cette démarche de rémunérer la chasse aux failles : pertinente, risquée ou inutile ?

    En collaboration avec Gordon Fowler



    Google Chrome : 3 133,7 dollars si vous découvrez une faille majeure
    Google surenchérit de 133 dollars sur Mozilla


    Google s'aligne sur les tarifs de Mozilla, qui vient cette semaine de multiplier par six sa prime pour les découvertes des vulnérabilités critiques dans Firefox. Il surenchérit même de 133.7$ dans le cadre de son programme Chromium Security Reward, une sorte de chasse récompensée aux failles non-corrigée du navigateur web Chrome.

    Ce programme, lancé il y a six mois, connait un succès retentissant. Certains participants affirment que c'est grâce à ce programme qu'ils s'impliquent dans la sécurité de Chromium.

    Mais ce n’est pas tout, Google annonce que même si elle reste à 500$, la récompense pour la découverte des bugs moins critiques pourrait être revue à la hausse s'ils sont présentés dans des rapports de haute qualité.

    Un rapport est considéré de haute-qualité s'il inclut "une analyse précise des causes ou une discussion constructive amenant à la résolution des bugs", affirme Chris Evans sur le blog Google Chrome Security.

    Mais pourquoi ce montant aussi précis, demanderez-vous ?

    Tout simplement parce qu'en langage Leet (qui remplace les lettres romaines par des caractères ASCII), 3133.7 signifie... « eleet » - autrement dit « Leet ». Un private joke de Geek donc.

    Quoiqu'il en soit, à 3 133,7$ le bug, la chasse à la faille devient intéressante, n'est-ce pas?

    Mais la sandbox qui isole les processus de Chrome risque de rendre cette quête aussi longue que fastidieuse.

    Après, à vous de voir.


    Source : Blog Google Chrome Security



    Lire aussi :

    Mozilla offre 3000$ par faille de sécurité découverte, les récompenses pour les chercheurs en sécurité augmentent

    Google veut réinventer les règles de divulgation des failles avec un "guide de bonne conduite" qui mettrait la pression sur les éditeurs

    Windows : bilan sur le nouvel exploit zero-day, pour les experts il s'agit d'une première tant l'attaque est ciblée, étudiée et complexe


    Les rubriques (actu, forums, tutos) de Développez :

    Sécurité
    Applications
    Développement Web



    Et vous ?

    Où pensez-vous que cette course aux récompenses s'arrêtera ?



    En collaboration avec Gordon Fowler

  2. #2
    Membre confirmé Avatar de Bryce de Mouriès
    Profil pro
    CPI
    Inscrit en
    Mars 2007
    Messages
    219
    Détails du profil
    Informations personnelles :
    Âge : 36
    Localisation : France, Hauts de Seine (Île de France)

    Informations professionnelles :
    Activité : CPI

    Informations forums :
    Inscription : Mars 2007
    Messages : 219
    Points : 558
    Points
    558
    Par défaut
    Ouais longue vie au 1337 !

    J'ai remarqué la même pureté chez |=|233 y a pas longtemps:
    http://www.free.fr/adsl/index.html
    (indice: la free boîte)
    Infinity - To The Top, shoot'em up développé en Haxe / OpenFL pour FLASH et Android, piou piou rythmé dans l'espace

  3. #3
    Membre actif
    Homme Profil pro
    Étudiant
    Inscrit en
    Juillet 2010
    Messages
    148
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 34
    Localisation : France, Hérault (Languedoc Roussillon)

    Informations professionnelles :
    Activité : Étudiant

    Informations forums :
    Inscription : Juillet 2010
    Messages : 148
    Points : 291
    Points
    291
    Par défaut
    Ah pas mal la petite suptilitée

  4. #4
    Membre éclairé
    Homme Profil pro
    NoOb
    Inscrit en
    Mai 2007
    Messages
    554
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : NoOb

    Informations forums :
    Inscription : Mai 2007
    Messages : 554
    Points : 852
    Points
    852
    Par défaut
    De la pub pour g33k

  5. #5
    Membre régulier
    Homme Profil pro
    Étudiant
    Inscrit en
    Mars 2010
    Messages
    58
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Étudiant

    Informations forums :
    Inscription : Mars 2010
    Messages : 58
    Points : 110
    Points
    110
    Par défaut
    Citation Envoyé par Idelways Voir le message
    Tout simplement parce qu'en langage Leet (qui remplace les lettres romaines par des caractères ASCII), 3133.7 signifie... « eleet » - autrement dit « Leet ». Un private joke de Geek donc.
    Vu comme ça

    Quant à dire où ça s'arrêtera, tout dépend de l'entreprise. À mon avis, des grosses boîtes comme Google seraient prêtes à monter encore bien plus haut lorsqu'il est question de sécurité, et de se donner une bonne image...

  6. #6
    Modérateur
    Avatar de Flaburgan
    Homme Profil pro
    Développeur Web
    Inscrit en
    Avril 2010
    Messages
    1 229
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Isère (Rhône Alpes)

    Informations professionnelles :
    Activité : Développeur Web
    Secteur : High Tech - Électronique et micro-électronique

    Informations forums :
    Inscription : Avril 2010
    Messages : 1 229
    Points : 3 579
    Points
    3 579
    Par défaut
    Je l'avais repéré rien qu'en lisant le titre. Je dois me faire soigner ?
    "Historiquement, techniquement, économiquement et moralement, Internet ne peut pas être contrôlé. Autant s’y faire." Laurent Chemla

    Je soutiens Diaspora*, le réseau social libre.

    Veillez à porter une attention toute particulière à l'orthographe...

    Blog collaboratif avec des amis : http://geexxx.fr

    Mon avatar a été fait par chiqitos, merci à lui !

  7. #7
    Rédacteur

    Homme Profil pro
    Geek entrepreneur
    Inscrit en
    Novembre 2004
    Messages
    1 224
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Geek entrepreneur

    Informations forums :
    Inscription : Novembre 2004
    Messages : 1 224
    Points : 2 373
    Points
    2 373
    Par défaut
    Ah ben j'avais pas compris
    Ça aurait été 1664 j'aurais compris

  8. #8
    Expert confirmé
    Avatar de Thes32
    Homme Profil pro
    Développeur PHP, .Net, T-SQL
    Inscrit en
    Décembre 2006
    Messages
    2 379
    Détails du profil
    Informations personnelles :
    Sexe : Homme

    Informations professionnelles :
    Activité : Développeur PHP, .Net, T-SQL

    Informations forums :
    Inscription : Décembre 2006
    Messages : 2 379
    Points : 4 853
    Points
    4 853
    Par défaut
    Citation Envoyé par Idelways
    Tout simplement parce qu'en langage Leet (qui remplace les lettres romaines par des caractères ASCII), 3133.7 signifie... « eleet » - autrement dit « Leet ». Un private joke de Geek donc.
    A mon avis avec 31337 (eleet) google se rapproche de la langue française eleet-élite !
    Développeur | Zend Certified Engineer

    Étapes Pour mieux se servir du forum:
    1. Commencez par lire les cours et tutoriels ;
    2. Faites une recherche;
    3. Faites un post si rien trouvé dans les deux étapes précédentes en respectant les règles;

    Nix>_Rien n'est plus pratique que la théorie

  9. #9
    Membre averti
    Profil pro
    azeazeae
    Inscrit en
    Septembre 2002
    Messages
    114
    Détails du profil
    Informations personnelles :
    Localisation : France, Ille et Vilaine (Bretagne)

    Informations professionnelles :
    Activité : azeazeae

    Informations forums :
    Inscription : Septembre 2002
    Messages : 114
    Points : 305
    Points
    305
    Par défaut
    Citation Envoyé par Thes32 Voir le message
    A mon avis avec 31337 (eleet) google se rapproche de la langue française eleet-élite !
    Il me semble que ce "langage" est (etait?) souvent utilisé par les bidouilleurs / hackeurs qu on appelait 'elites'.
    On parle aussi de "elite speak" (« langage de l'élite ») : ben ouais, ils ont souvent la grosse tête

    C'est donc un petit clin d oeil à tous les bidouilleurs / hackeurs.
    Dommage que la virgule soit utilisée : 3 1337 est plus propre non ?

  10. #10
    Membre confirmé

    Homme Profil pro
    Mâle reproducteur chez Amazon
    Inscrit en
    Mars 2006
    Messages
    207
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Mâle reproducteur chez Amazon

    Informations forums :
    Inscription : Mars 2006
    Messages : 207
    Points : 490
    Points
    490
    Par défaut
    On voit là le bon sens de Google. Ils paient celui qui trouve une faille. En France, pour le même motif, on punit...
    Pour vivre heureux, vivons cachés. Proverbe alien.

  11. #11
    Expert éminent sénior
    Avatar de Idelways
    Homme Profil pro
    Développeur Ruby on Rails / iOS
    Inscrit en
    Juin 2010
    Messages
    1 374
    Détails du profil
    Informations personnelles :
    Sexe : Homme

    Informations professionnelles :
    Activité : Développeur Ruby on Rails / iOS

    Informations forums :
    Inscription : Juin 2010
    Messages : 1 374
    Points : 68 548
    Points
    68 548
    Par défaut
    Google étend la chasse aux vulnérabilités à ses applications en ligne
    3,133.7 $ pour celui (ou celle) qui trouve une faille critique sur Youtube, Orkut ou Blogger

    Mise à jour du 03/11/2010 par Idelways


    Google étend sa récompense à la chasse aux failles (et au trésor vu le montant des récompenses) à ses applications en ligne.

    Par conséquent, le géant des services en ligne lève, dans une démarche plutôt audacieuse, l'interdiction d'essayer de pirater les applications en production sur les domaines Google.com, Youtube, Blogger et Orkut.

    Évidemment dans le seul et unique but d'y trouver des failles. Les chercheurs en sécurité (ou les amateurs de 12 ans) qui en trouvent seront récompensés.


    Le montant des primes va de 500 $ pour un bug à $3,133.7 pour une faille critique trouvée, un chiffre au clin d'œil « so geek » (lire ci-avant).

    L'heureux gagnant verra (s'il le veut) son nom publié dans une sorte de « hacking hall of fame ». De quoi embellir sérieusement un CV.

    Google reste tout de même prudent et n'autorise qu'une liste restreinte d'attaques.

    Exit donc le social engineering ou les attaques par déni de services.

    Seuls les attaques de type : XSS, CSRF, XSSI (cross-site script inclusion), les tentatives de déjouer les contrôles d'authentification, exécuter du code du côté serveur ou injecter des commandes sont autorisés.

    Ce qui fait déjà beaucoup de possibilités.


    Source : blog Google Online Security


    Et vous ?

    Allez-vous chercher des failles sur les applications de Google ?
    Que pensez-vous de cette démarche de rémunérer la chasse aux failles : pertinente, risquée ou inutile ?

    En collaboration avec Gordon Fowler

  12. #12
    Membre habitué
    Homme Profil pro
    Développeur informatique
    Inscrit en
    Février 2006
    Messages
    81
    Détails du profil
    Informations personnelles :
    Sexe : Homme

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : Tourisme - Loisirs

    Informations forums :
    Inscription : Février 2006
    Messages : 81
    Points : 154
    Points
    154
    Par défaut
    Premier bug le lien vers le blog Google marche pas
    hutteeee://googleo....

    C'est quoi ce protocole hutteeee

  13. #13
    Membre averti
    Homme Profil pro
    Développeur Web
    Inscrit en
    Février 2003
    Messages
    307
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 44
    Localisation : Belgique

    Informations professionnelles :
    Activité : Développeur Web
    Secteur : Administration - Collectivité locale

    Informations forums :
    Inscription : Février 2003
    Messages : 307
    Points : 378
    Points
    378
    Par défaut
    $3,133.7 pour une faille critique
    ça c'est un tarif précis

Discussions similaires

  1. Google ajoute la prise de rendez-vous dans Google Agenda
    Par Gordon Fowler dans le forum Cloud Computing
    Réponses: 1
    Dernier message: 22/06/2011, 14h22
  2. Réponses: 6
    Dernier message: 04/02/2011, 15h23
  3. Réponses: 6
    Dernier message: 04/02/2011, 15h23
  4. Réponses: 0
    Dernier message: 29/11/2010, 01h42
  5. Réponses: 2
    Dernier message: 13/08/2009, 15h13

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo