Dans son traditionnel programme de récompenses des chasseurs de vulnérabilités amorcé en novembre 2010, Google a apporté une nouvelle clause. Cette fois-ci, les développeurs ne se contenteront plus de mettre à l'épreuve uniquement des solutions directement éditées par la firme puisqu'ils pourront aussi faire de même pour des logiciels Open Source.
« Nous avons décidé d'essayer quelque chose de nouveau. » explique Michal Zalewsk de l'équipe de sécurité de Google qui reconnaît au passage le travail des volontaires des communautés open source qui profite à tous . « Un bon nombre de vulnérabilités proviennent d'erreurs de codage évitables ou sont plus faciles à exploiter en raison de l'absence de techniques d'atténuation simples. Nous espérons résoudre ce problème dans une certaine mesure » poursuit-il.
C'est dans ce contexte que Google délimitera le champ d'action des développeurs. L'entreprise explique que « toute conception ou problème de mise en œuvre qui affecte sensiblement la confidentialité ou l'intégrité des données de l'utilisateur est susceptible d'être portée au programme. ». La société a donc sélectionné plusieurs des programmes Open-Source et bibliothèques de code les plus utilisés dans le networking, l'analyse d'image et la sécurité parmi lesquels OpenSSH, OpenSSL , BIND ou encore libjpeg et libpng. Kernel Based Virtual Machine et d'autres composants communs du noyau Linux font aussi partie de la liste.
Par la suite, Google devrait étendre le programme à des serveurs Web comme Apache et nginx ainsi qu'à des services SMTP comme Sendmail et Postfix et des logiciels VPN comme OpenVPN a expliqué Michal Zalewsk.
Les récompenses varieront de 500 $ à 20 000 $. Les vulnérabilités les moins rentables sont celles qui sont liées à XSRF, XSSI et d'autres failles communes au web et elles varient entre 500 $ et 3,133 $. Les plus rentables appartiennent à la catégorie des exécutions de code à distance et sont payées 20 000 $.
Source : Blog Google, Vulnerability Reward Program
Et vous ?
Que pensez-vous de cette initiative ?
Google récompense les découvertes de failles dans des logiciels Open Source
Une initiative en phase de test
Google récompense les découvertes de failles dans des logiciels Open Source
Une initiative en phase de test
Le , par Stéphane le calme
Une erreur dans cette actualité ? Signalez-nous-la !