Google augmente aussi sa prime au bug : jusqu'à 3133,7 $

Buggy the Kid, on aura ta peau 24
La saison de la chasse aux bugs vient de rouvrir. Après Mozilla, qui a ouvert le bal ce lundi en augmentant la récompense pour les failles de sécurité jusqu'à 3 000 dollars, c'est au tour de Google de faire de même.

BUG WANTED

Le groupe de Mountain View a annoncé mardi que la récompense maximale pour les bugs de Chrome qui lui sont signalés était augmentée, passant de 1 337 dollars à 3 133,70 dollars. Elle passe donc de "Leet" à "Eleet", restant dans le thème des mots signifiant élite. La récompense minimum reste à 500 dollars, pour les bugs moins importants. Les plus petits bugs n'ont pas droit à une récompense monétaire mais peuvent voir le nom de leurs découvreurs arriver sur le Hall of Fame de Chrome.

Pour toucher la récompense maximale, il faudra trouver une faille critique dans Chrome (telles que définies sur cette page). La récompense pour les bugs moins graves pourra aussi être augmentée si le rapport est de bonne qualité : « les facteurs pouvant indiquer un rapport de bug de grande qualité peuvent inclure une réduction attentive des cas possibles, une analyse précise des causes profondes, ou des propositions constructives pour le résoudre ».

La récompense précédente avait été établie en février 2010, et son augmentation est selon Google liée au fait que la Sandbox de Chrome rende les failles critiques beaucoup plus difficiles à trouver.

Cependant, cette annonce combinée à l'augmentation effectuée par Mozilla laisse deviner que ces récompenses ont prouvé leur efficacité pour dénicher des bugs graves qui échappaient autrement aux développeurs. Dans le même temps, certains chercheurs en sécurité exigent maintenant de vrais retours monétaires pour le travail de sécurité qu'ils effectuent pour les entreprises.

Une nouvelle politique de divulgation des failles

Le même jour, Google a annoncé mettre en place une nouvelle politique de divulgation des failles trouvées dans les logiciels tiers par leurs chercheurs en sécurité, et encourage toute la communauté à adopter les mêmes, même dans les cas où c'est à Google que les failles sont rapportées :
  • Associer une date de divulgation à toute vulnérabilité importante qu'ils rapportent, avec un délai dépendant de la complexité du fix (par exemple un problème de design demande plus de temps pour être corrigé qu'un bug de mémoire corrompue)
  • Répondre à une date limite non respectées ou au refus de corriger le problème en publiant une analyse de la vulnérabilité, avec toute suggestion de contournement du problème qui pourrait aider les utilisateurs
  • Établir une date de divulgation proche s'il y a des preuves que des blackhats ont déjà connaissance du bug
Cette procédure a pour but d'obliger les entreprises à corriger les problèmes de sécurité de leurs programmes, car beaucoup comptent sur une « divulgation responsable » des vulnérabilités par les chercheurs, c'est-à-dire aucune révélation au public, pour ne pas corriger ces failles. Du coup selon Google de nombreuses failles critiques 0-day de ces dernières années étaient en fait déjà connues des entreprises.

Dans ces conditions, dévoiler le bug au grand jour peut être dans l'intérêt du public, puisqu'il pourra mieux se protéger de la vulnérabilité, voire changer de logiciel, tout en obligeant l'entreprise à corriger cette faille au plus vite.

En France néanmoins il n'est pas forcément recommandé aux chercheurs en sécurité d'adopter cette attitude, puisqu'elle pourrait être condamnable par la justice. En effet, suite à un arrêt de la Cour de cassation le full disclosure est dans certains cas un délit en France, car est une "incitation au piratage". Les entreprises hexagonales ont donc tout le loisir d'enterrer les rapports de sécurité qui leur sont faits...
Publiée le 22/07/2010 à 10:28
Publicité