Google récompense les découvertes de failles dans des logiciels Open Source
Une initiative en phase de test

Le , par Stéphane le calme, Chroniqueur Actualités
Dans son traditionnel programme de récompenses des chasseurs de vulnérabilités amorcé en novembre 2010, Google a apporté une nouvelle clause. Cette fois-ci, les développeurs ne se contenteront plus de mettre à l'épreuve uniquement des solutions directement éditées par la firme puisqu'ils pourront aussi faire de même pour des logiciels Open Source.

« Nous avons décidé d'essayer quelque chose de nouveau. » explique Michal Zalewsk de l'équipe de sécurité de Google qui reconnaît au passage le travail des volontaires des communautés open source qui profite à tous . « Un bon nombre de vulnérabilités proviennent d'erreurs de codage évitables ou sont plus faciles à exploiter en raison de l'absence de techniques d'atténuation simples. Nous espérons résoudre ce problème dans une certaine mesure » poursuit-il.

C'est dans ce contexte que Google délimitera le champ d'action des développeurs. L'entreprise explique que « toute conception ou problème de mise en œuvre qui affecte sensiblement la confidentialité ou l'intégrité des données de l'utilisateur est susceptible d'être portée au programme. ». La société a donc sélectionné plusieurs des programmes Open-Source et bibliothèques de code les plus utilisés dans le networking, l'analyse d'image et la sécurité parmi lesquels OpenSSH, OpenSSL , BIND ou encore libjpeg et libpng. Kernel Based Virtual Machine et d'autres composants communs du noyau Linux font aussi partie de la liste.

Par la suite, Google devrait étendre le programme à des serveurs Web comme Apache et nginx ainsi qu'à des services SMTP comme Sendmail et Postfix et des logiciels VPN comme OpenVPN a expliqué Michal Zalewsk.

Les récompenses varieront de 500 $ à 20 000 $. Les vulnérabilités les moins rentables sont celles qui sont liées à XSRF, XSSI et d'autres failles communes au web et elles varient entre 500 $ et 3,133 $. Les plus rentables appartiennent à la catégorie des exécutions de code à distance et sont payées 20 000 $.

Source : Blog Google, Vulnerability Reward Program

Et vous ?

Que pensez-vous de cette initiative ?


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de Code62 Code62 - Membre éclairé https://www.developpez.com
le 12/10/2013 à 0:06
Citation Envoyé par Stéphane le calme  Voir le message
varient entre 500 $ et 3,133 $

3,133.7
si on vire le .7, c'est beaucoup moins amusant :p

A part ça: c'est une super initiative :o
Avatar de Zefling Zefling - Membre émérite https://www.developpez.com
le 12/10/2013 à 10:52
3,133.7 pour « eleet »

Sinon c'est sur que sans le .7 ça le fait pas.

Google fait aussi ça dans son intérêt, mais bon, comme ça sert aussi l'intérêt commun, c'est assez difficile de critiquer négativement la chose.
Avatar de abriotde abriotde - Membre éclairé https://www.developpez.com
le 14/10/2013 à 8:34
C'est en plein accord avec le principe de l'Open-Source : J'ai besoin de ce logiciel, je l'utilise, au besoin je l'améliore et cela profite a tous. Merci a tout ceux qui participent a leur développement en respectant leur principe. Google en fait partie.
PS : trouver une faille dans OpenSSH, n'est a mon avis pas rentable au sens ou c'est extrêmement difficile. Si j'étais Hacker ou société de sécurité, je m'attaquerait au reste.
Offres d'emploi IT
Architecte et intégrateur scade/simulink H/F
Safran - Ile de France - Vélizy-Villacoublay (78140)
Ingénieur conception en électronique de puissance H/F
Safran - Ile de France - Moissy-Cramayel (77550)
Responsable protection des données H/F
Safran - Ile de France - Magny-les-Hameaux (78114)

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil