Google vient d’ouvrir un nouveau programme de chasse aux bugs. Centré sur Android, il se propose de rémunérer, à hauteur de 1 000 dollars, ceux qui trouveront des failles exploitables à distance dans les applications tierces.
Ces programmes, souvent qualifiés de « bug bounties », jouent un rôle essentiel dans la sécurité informatique au sens large. Il encourage les chercheurs à se pencher sur des solutions particulières pour y détecter des vulnérabilités. Auquel cas ils peuvent en communiquer les détails à l’éditeur concerné, qui lui verse une somme en retour. Le montant dépend du programme et des caractéristiques de la faille.
Google en a déjà un pour ses principaux produits, notamment Chrome. Mais cette fois, la firme en ouvre un centré sur les applications tierces du Play Store. Car oui, c’est bien ce que propose l’entreprise : rémunérer des chercheurs pour avoir découvert des failles dans des produits ne lui appartenant pas.
Un programme particulièrement ouvert
Le nouveau programme passe par la plateforme américaine HackerOne et exige que le chercheur ait d’abord communiqué dans un premier temps avec l’éditeur responsable. Par exemple, une brèche est découverte dans Snapchat. Le chercheur se met en relation avec Snap pour travailler ensemble à la résolution du problème. Après correction, il peut alors remplir un formulaire dans le programme de Google pour être payé.
La somme peut être d’un maximum de 1 000 dollars. Elle peut paraître peu élevée, mais généralisée à l’ensemble du Store, il se pourrait que la facture puisse être salée pour Google si son programme remporte le succès escompté. Surtout, il envoie un signal fort : Google est consciente que la sécurité des applications tierces laisse trop souvent à désirer et veut donc inciter par l’argent à davantage se pencher sur cette question.
Pour l’instant, le type de faille est par contre restreint. Elles doivent toutes être de type RCE (remote-code-execution), donc exploitables à distance, et être accompagnées de prototypes d’exploitation. Sorti de ces conditions, le programme ne fait aucune exception sur les applications tierces, mais il faut que la vulnérabilité soit exploitable sur Android 4.4 ou une version ultérieure, autrement dit celles supportées par les Play Services. Point important, Google n’exige même pas que la sandbox soit percée.
Le Play Security Reward Program est international et se veut pour l’instant expérimental. Dans son annonce, Google explique en effet qu’il peut être arrêté à tout moment. Aucun employé de Google ou d’un partenaire de Google ne peut y participer. Notez cependant que les rapports envoyés pour des applications Google ou Chrome se qualifient automatiquement pour un examen dans le nouveau programme. Selon les cas, il peut donc y avoir double récompense.
L'éternelle chasse aux vulnérabilités
L’annonce reste importante dans ce qu’elle implique. L’efficacité des programmes de chasse dépend cependant directement des sommes versées. Nous avons souligné ce point à plusieurs reprises (voir cette actualité, ou celle-ci), car de l’efficacité de ces programmes découle également la sécurité générale. Les failles de sécurité sont selon les acteurs des nuisances à éliminer aussi vite que possible, une monnaie d’échange, voire des armes.
Chaque vulnérabilité trouvée et soumise à un programme rémunéré est une opportunité de moins pour des pirates ou des agences de renseignements. Bien que les deux ne puissent pas être mis dans le même panier, le résultat est le même : toute brèche non colmatée est une épée de Damoclès au-dessus des utilisateurs. Il suffit de se rappeler de WannaCrypt, une faille dans Windows connue de la NSA, jusqu’à ce que les pirates commencent à l’exploiter.
Mais quel que soit l'impact positif de cette initiative, certains s'étonneront que Google prenne ainsi les choses en main. Le fait que la firme en arrive à distribuer de l'argent pour des applications ne lui appartenant pas peut résonner comme une forme d'aveu que la situation a nécessité son intervention.
On s'étonnera également de voir Google lancer un tel programme alors qu'il ne participe à d'autres du même acabit. Par exemple, The Internet Bug Bounty, lancé par HackerOne et focalisé sur les technologies fondatrices du web d'aujourd'hui, comme OpenSSL, PHP ou encore Ruby. Microsoft et Facebook le soutiennent pourtant.
