Pour motiver un peu plus les chercheurs en sécurité à continuer à traquer les failles de sécurité dans son navigateur Chrome et Chrome OS, Google a procédé à une augmentation du montant des récompenses pour les vulnérabilités qui seront signalées à la firme. Les chercheurs en sécurité auront également en plus une meilleure reconnaissance du monde de la sécurité informatique.
Grâce aux nouvelles directives, le montant des récompenses qui était avant compris entre 500 et 5 000 dollars, sera désormais compris entre 500 et 15 000 dollars. Les chercheurs qui ont signalé des failles en juillet 2014 pourront bénéficier de cette augmentation.
Le montant de la récompense varie en fonction du type de faille et de la gravité de celle-ci. Le tableau ci-dessous donne la répartition en fonction de ces paramètres.
Tim Willis, membre de l’équipe de sécurité de Google, explique dans un billet de blog que Chrome est désormais plus sûr et qu’il est donc beaucoup plus difficile de trouver et d’exploiter des failles de sécurité dans le navigateur.
Il faut noter cependant que pour certaines failles, Google est capable d’aller au-delà de ces montants. C’est le notamment le cas pour une vulnérabilité dans le moteur V8 qui avait été découverte dans Chrome OS le mois dernier. La faille pouvait entrainer l’exécution du code à distance en dehors du bac à sable (sandbox). Pour cette faille, Google avait offert 30 000 dollars comme récompense à celui qui l’avait signalé.
Google excède le plafond défini essentiellement lorsque la faille est signalée avec un exploit pour démontrer son utilisation. Les chercheurs pourront dorénavant signaler la faille et transmettre la preuve de faisabilité (PoC) plus tard. Cela permet à Google de travailler sur correctif alors que le chercheur en sécurité prépare un PoC.
Depuis le lancement de son programme de récompenses pour Chrome, Google a corrigé près de 700 failles de sécurité qui ont été signalées dans Chrome et procédé au paiement de 1,25 million de dollars aux chercheurs en sécurité.
Ce programme représente pour la firme un excellent moyen de collaboration avec la communauté des chercheurs en sécurité. Ce programme a permis à la société de rapidement combler les failles dans Chrome et de mettre l’utilisateur final à l’abri des attaques.
Il faut noter que le marché des vulnérabilités est assez controversé. Plusieurs experts en sécurité préfèrent garder le secret sur les failles qu’ils découvrent pour les vendre au plus offrant sur le marché noir.
Source : Google
Et vous ?
Que pensez-vous de cette augmentation ?
Que pensez-vous des chercheurs en sécurité qui préfèrent vendre les failles au plus offrant ?
Google augmente le montant des récompenses pour les failles dans Chrome
Le plafond passe de 5 000 $ à 15 000 $
Google augmente le montant des récompenses pour les failles dans Chrome
Le plafond passe de 5 000 $ à 15 000 $
Le , par Hinault Romaric
Une erreur dans cette actualité ? Signalez-nous-la !