Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

Android : Google récompense les failles trouvées dans les applications tierces

Le taureau par les cornes
Logiciel 3 min
Android : Google récompense les failles trouvées dans les applications tierces
Crédits : alexskopje/iStock

Google vient d’ouvrir un nouveau programme de chasse aux bugs. Centré sur Android, il se propose de rémunérer, à hauteur de 1 000 dollars, ceux qui trouveront des failles exploitables à distance dans les applications tierces.

Ces programmes, souvent qualifiés de « bug bounties », jouent un rôle essentiel dans la sécurité informatique au sens large. Il encourage les chercheurs à se pencher sur des solutions particulières pour y détecter des vulnérabilités. Auquel cas ils peuvent en communiquer les détails à l’éditeur concerné, qui lui verse une somme en retour. Le montant dépend du programme et des caractéristiques de la faille.

Google en a déjà un pour ses principaux produits, notamment Chrome. Mais cette fois, la firme en ouvre un centré sur les applications tierces du Play Store. Car oui, c’est bien ce que propose l’entreprise : rémunérer des chercheurs pour avoir découvert des failles dans des produits ne lui appartenant pas.

Un programme particulièrement ouvert

Le nouveau programme passe par la plateforme américaine HackerOne et exige que le chercheur ait d’abord communiqué dans un premier temps avec l’éditeur responsable. Par exemple, une brèche est découverte dans Snapchat. Le chercheur se met en relation avec Snap pour travailler ensemble à la résolution du problème. Après correction, il peut alors remplir un formulaire dans le programme de Google pour être payé.

La somme peut être d’un maximum de 1 000 dollars. Elle peut paraître peu élevée, mais généralisée à l’ensemble du Store, il se pourrait que la facture puisse être salée pour Google si son programme remporte le succès escompté. Surtout, il envoie un signal fort : Google est consciente que la sécurité des applications tierces laisse trop souvent à désirer et veut donc inciter par l’argent à davantage se pencher sur cette question.

Pour l’instant, le type de faille est par contre restreint. Elles doivent toutes être de type RCE (remote-code-execution), donc exploitables à distance, et être accompagnées de prototypes d’exploitation. Sorti de ces conditions, le programme ne fait aucune exception sur les applications tierces, mais il faut que la vulnérabilité soit exploitable sur Android 4.4 ou une version ultérieure, autrement dit celles supportées par les Play Services. Point important, Google n’exige même pas que la sandbox soit percée.

Le Play Security Reward Program est international et se veut pour l’instant expérimental. Dans son annonce, Google explique en effet qu’il peut être arrêté à tout moment. Aucun employé de Google ou d’un partenaire de Google ne peut y participer. Notez cependant que les rapports envoyés pour des applications Google ou Chrome se qualifient automatiquement pour un examen dans le nouveau programme. Selon les cas, il peut donc y avoir double récompense.

L'éternelle chasse aux vulnérabilités

L’annonce reste importante dans ce qu’elle implique. L’efficacité des programmes de chasse dépend cependant directement des sommes versées. Nous avons souligné ce point à plusieurs reprises (voir cette actualité, ou celle-ci), car de l’efficacité de ces programmes découle également la sécurité générale. Les failles de sécurité sont selon les acteurs des nuisances à éliminer aussi vite que possible, une monnaie d’échange, voire des armes.

Chaque vulnérabilité trouvée et soumise à un programme rémunéré est une opportunité de moins pour des pirates ou des agences de renseignements. Bien que les deux ne puissent pas être mis dans le même panier, le résultat est le même : toute brèche non colmatée est une épée de Damoclès au-dessus des utilisateurs. Il suffit de se rappeler de WannaCrypt, une faille dans Windows connue de la NSA, jusqu’à ce que les pirates commencent à l’exploiter.

Mais quel que soit l'impact positif de cette initiative, certains s'étonneront que Google prenne ainsi les choses en main. Le fait que la firme en arrive à distribuer de l'argent pour des applications ne lui appartenant pas peut résonner comme une forme d'aveu que la situation a nécessité son intervention.

On s'étonnera également de voir Google lancer un tel programme alors qu'il ne participe à d'autres du même acabit. Par exemple, The Internet Bug Bounty, lancé par HackerOne et focalisé sur les technologies fondatrices du web d'aujourd'hui, comme OpenSSL, PHP ou encore Ruby. Microsoft et Facebook le soutiennent pourtant.

22 commentaires
Avatar de jackjack2 Abonné
Avatar de jackjack2jackjack2- 20/10/17 à 13:17:45

Mais quel que soit l'impact positif de cette initiative, certains s'étonneront que Google prenne ainsi les choses en main. Le fait que la firme en arrive à distribuer de l'argent pour des applications ne lui appartenant pas peut résonner comme une forme d'aveu que la situation a nécessité son intervention.

Oui c'est assez gros comme décision!

Sur ce, je vous laisse, je vais coder une appli pleine de failles pour les signaler et choper les bounties :best:

Avatar de 2show7 INpactien
Avatar de 2show72show7- 20/10/17 à 13:22:12

jackjack2 a écrit :

Oui c'est assez gros comme décision!

Sur ce, je vous laisse, je vais coder une appli pleine de failles pour les signaler et choper les bounties :best:

Et combien tu paies ? :mdr:

Édité par 2show7 le 20/10/2017 à 13:22
Avatar de Jarodd INpactien
Avatar de JaroddJarodd- 20/10/17 à 13:30:26

Si on considère qu'un appli qui demande une autorisation dont elle n'a pas besoin est une faille, Google va faire faillite en quelques jours :ouioui:

Avatar de fred42 INpactien
Avatar de fred42fred42- 20/10/17 à 13:31:14

[HS, mais qu'à moitié]

Et sinon, l'article sur KRACK, la faille de WPA2, promis pour la matinée ce mardi, il en est où ?

la faille WPA2 dévoilée hier, et sur laquelle nous reviendrons en détail dans la matinée

Désolé de la relance, mais l'article s'est peut-être perdu quelque part...
[/HS]

Avatar de 2show7 INpactien
Avatar de 2show72show7- 20/10/17 à 13:31:48

il faut vraiment qu'il aime ton application. il risque de la supprimer et ne plus te faire confiance

Édité par 2show7 le 20/10/2017 à 13:33
Avatar de David_L Équipe
Avatar de David_LDavid_L- 20/10/17 à 13:36:44

Quand il sera prêt à être publié, il le sera :)

Avatar de fred42 INpactien
Avatar de fred42fred42- 20/10/17 à 13:42:21

Merci de ta réponse.

Tant qu'il est publié une matinée, ça me va.

En fait, je commençais à vraiment croire qu'il y avait un loupé technique ayant empêché la publication. Genre, je clique sur publication et ça part dans /dev/null.

Le sujet n'est pas forcément simple quand on veut être exhaustif et je comprends que ça puisse être un peu long à écrire.

Avatar de 2show7 INpactien
Avatar de 2show72show7- 20/10/17 à 13:45:20

David_L a écrit :

Quand il sera prêt à être publié, il le sera :)

Il va être corsé, alors ? (c'est inquiétant)

Avatar de Krogoth Abonné
Avatar de KrogothKrogoth- 20/10/17 à 13:47:53

Faire du vrai journalisme ca prend du temps ;)
Pour les aticles à la "va-vite" il y a les breves ;)

Avatar de 2show7 INpactien
Avatar de 2show72show7- 20/10/17 à 13:50:42

Krogoth a écrit :

Faire du vrai journalisme ca prend du temps ;)
Pour les aticles à la "va-vite" il y a les breves ;)

Surtout que "Krack", c'est un mot inquiétant :transpi:

Il n'est plus possible de commenter cette actualité.
Page 1 / 3