Après Drupal et Mozilla, c’est au tour de Google de mettre la main au porte-monnaie pour récompenser la découverte de failles dans Android. Le montant maximal est de 40 000 dollars.
Google lance donc un programme de récompense pour les chercheurs et organisations qui découvriraient des failles dans le système d’exploitation Android. Ce n’est pas une première chez Google qui dès 2010 lançait le programme « Chrome Reward » visant à sécuriser le navigateur Chrome et le système d’exploitation Chome OS. Au-delà de l’aspect pécuniaire, le programme offrait une reconnaissance publique aux découvreurs. S’en est suivi le programme VRP, destiné à protéger entre autres les domaines google.com, youtube.com et blogger.com.
Le troisième programme édifié par la firme de Mountain View vise à soutenir les équipes du projet Android en terme de sécurité, dont l’image est un peu écornée face aux systèmes d’exploitation mobiles concurrents comme iOS. Google proposera des récompenses de 500 dollars pour un bug modéré, 2000 dollars pour des bugs critiques et jusque 10 000 dollars pour un exploit permettant par exemple à une application de tirer parti d’une vulnérabilité du noyau Android. L’échelle des récompenses peut ensuite s’envoler si l’attaque est effectuée à distance (20 000 dollars). La prime de 40 000 dollars pourrait être atteinte si le découvreur fournit une démonstration ou des patchs correctifs.
Ce programme ne concerne que la version récente d’Android exécutée sur les terminaux Nexus 6 et Nexus 9.
Source : www.google.com