Google récompense les découvertes de failles dans des logiciels Open Source
Une initiative en phase de test
Le 2013-10-11 23:38:02, par Stéphane le calme, Chroniqueur Actualités
Dans son traditionnel programme de récompenses des chasseurs de vulnérabilités amorcé en novembre 2010, Google a apporté une nouvelle clause. Cette fois-ci, les développeurs ne se contenteront plus de mettre à l'épreuve uniquement des solutions directement éditées par la firme puisqu'ils pourront aussi faire de même pour des logiciels Open Source.
« Nous avons décidé d'essayer quelque chose de nouveau. » explique Michal Zalewsk de l'équipe de sécurité de Google qui reconnaît au passage le travail des volontaires des communautés open source qui profite à tous . « Un bon nombre de vulnérabilités proviennent d'erreurs de codage évitables ou sont plus faciles à exploiter en raison de l'absence de techniques d'atténuation simples. Nous espérons résoudre ce problème dans une certaine mesure » poursuit-il.
C'est dans ce contexte que Google délimitera le champ d'action des développeurs. L'entreprise explique que « toute conception ou problème de mise en œuvre qui affecte sensiblement la confidentialité ou l'intégrité des données de l'utilisateur est susceptible d'être portée au programme. ». La société a donc sélectionné plusieurs des programmes Open-Source et bibliothèques de code les plus utilisés dans le networking, l'analyse d'image et la sécurité parmi lesquels OpenSSH, OpenSSL , BIND ou encore libjpeg et libpng. Kernel Based Virtual Machine et d'autres composants communs du noyau Linux font aussi partie de la liste.
Par la suite, Google devrait étendre le programme à des serveurs Web comme Apache et nginx ainsi qu'à des services SMTP comme Sendmail et Postfix et des logiciels VPN comme OpenVPN a expliqué Michal Zalewsk.
Les récompenses varieront de 500 $ à 20 000 $. Les vulnérabilités les moins rentables sont celles qui sont liées à XSRF, XSSI et d'autres failles communes au web et elles varient entre 500 $ et 3,133 $. Les plus rentables appartiennent à la catégorie des exécutions de code à distance et sont payées 20 000 $.
Source : Blog Google, Vulnerability Reward Program
Et vous ?
« Nous avons décidé d'essayer quelque chose de nouveau. » explique Michal Zalewsk de l'équipe de sécurité de Google qui reconnaît au passage le travail des volontaires des communautés open source qui profite à tous . « Un bon nombre de vulnérabilités proviennent d'erreurs de codage évitables ou sont plus faciles à exploiter en raison de l'absence de techniques d'atténuation simples. Nous espérons résoudre ce problème dans une certaine mesure » poursuit-il.
C'est dans ce contexte que Google délimitera le champ d'action des développeurs. L'entreprise explique que « toute conception ou problème de mise en œuvre qui affecte sensiblement la confidentialité ou l'intégrité des données de l'utilisateur est susceptible d'être portée au programme. ». La société a donc sélectionné plusieurs des programmes Open-Source et bibliothèques de code les plus utilisés dans le networking, l'analyse d'image et la sécurité parmi lesquels OpenSSH, OpenSSL , BIND ou encore libjpeg et libpng. Kernel Based Virtual Machine et d'autres composants communs du noyau Linux font aussi partie de la liste.
Par la suite, Google devrait étendre le programme à des serveurs Web comme Apache et nginx ainsi qu'à des services SMTP comme Sendmail et Postfix et des logiciels VPN comme OpenVPN a expliqué Michal Zalewsk.
Les récompenses varieront de 500 $ à 20 000 $. Les vulnérabilités les moins rentables sont celles qui sont liées à XSRF, XSSI et d'autres failles communes au web et elles varient entre 500 $ et 3,133 $. Les plus rentables appartiennent à la catégorie des exécutions de code à distance et sont payées 20 000 $.
Source : Blog Google, Vulnerability Reward Program
Et vous ?
-
Code62Membre éclairé3,133.7
si on vire le .7, c'est beaucoup moins amusant :p
A part ça: c'est une super initiative :ole 12/10/2013 à 0:06 -
ZeflingExpert confirmé3,133.7 pour « eleet »
Sinon c'est sur que sans le .7 ça le fait pas.
Google fait aussi ça dans son intérêt, mais bon, comme ça sert aussi l'intérêt commun, c'est assez difficile de critiquer négativement la chose.le 12/10/2013 à 10:52 -
abriotdeMembre chevronnéC'est en plein accord avec le principe de l'Open-Source : J'ai besoin de ce logiciel, je l'utilise, au besoin je l'améliore et cela profite a tous. Merci a tout ceux qui participent a leur développement en respectant leur principe. Google en fait partie.
PS : trouver une faille dans OpenSSH, n'est a mon avis pas rentable au sens ou c'est extrêmement difficile. Si j'étais Hacker ou société de sécurité, je m'attaquerait au reste.le 14/10/2013 à 8:34