Google s’intéresse de très près à la sécurité de son système Chrome OS. Maintenant que les Chromebooks commencent à réaliser des scores de ventes intéressants, la firme a tout intérêt à blinder ses défenses. Elle organise donc un concours visant à trouver et documenter des failles. Et Google se donne les moyens de ses ambitions.
En complément du concours Pwn2Own
Google a déjà réalisé à deux reprises des concours de sécurité. Baptisés Pwnium, ils permettent aux experts en sécurité et autres de se pencher sur les défenses du navigateur Chrome pour y trouver des failles. Si des brèches sont trouvées et correctement exploitées, Google paye en monnaie sonnante et trébuchante. La somme dépend du degré d’exploitation et de la dangerosité de la faille.
Cette année, la conférence CanSecWest se tiendra du 6 au 8 mars à Vancouver. Comme toujours, elle accueillera une compétition baptisée Pwn2Own dans laquelle la sécurité de tous les navigateurs doit être mise à mal. Il s’agit d’un rendez-vous important permettant de faire le point sur le degré de sécurité offert par chaque butineur. Toutefois, puisque Google sera présent à cette compétition, le contenu de son propre concours Pwnium sera cette fois modifié.
Jusqu'à 150 000 dollars pour une faille exploitée et documentée
Comme l’indique Google dans un billet sur son blog, Pwnium vise cette fois Chrome OS. Avec un nombre croissant de machines en direction de plusieurs constructeurs et une hausse des ventes, le système d’exploitation risque clairement d’attirer l’attention. Pour attirer les hackers et autres chercheurs en sécurité, Google n’y va d’ailleurs pas par quatre chemins : les récompenses promises sont largement supérieures à celles décernées habituellement.
Plus de trois millions de dollars seront ainsi distribués au total. Le degré des récompenses dépend du type de faille, mais l’exploitation et donc la compromission du système doivent toujours faire partie de la démonstration :
- Pour une faille dans le navigateur ou une compromission du système en mode invité ou avec un utilisateur connecté, exploitée via une page web : 110 000 dollars
- Pour une faille exploitée et persistante, invité à invité, avec un redémarrage entre temps : 150 000 dollars
Les démonstrations devront être faites sur un portable Samsung Series 5 550 équipé de la dernière version stable de Chrome OS. Tous les composants du système peuvent être utilisés, sans limite, y compris le noyau Linux lui-même et les pilotes.
Google insiste sur un point essentiel : quelle que soit la faille, elle doit obligatoirement être inconnue. Elle devra être dûment documentée et la méthode devra être clairement expliquée. Si plusieurs failles sont utilisées dans une chaine, la règle reste la même.
Évidemment, il s’agit pour Google d’attirer vers Chrome OS des personnes capables de braquer une lumière assez crue sur son système. En proposant des sommes élevées, la firme peut espérer motiver les foules, et les bénéfices seront très réels : plus des failles seront trouvées de cette manière, moins Chrome OS sera susceptible d’être un vecteur d’exploitations élaborées.
Commentaires (23)
#1
" /> ça paye mieux que le dollar hexadécimal pour les coquilles/erreurs dans les bouquins de Knuth
#2
Donald n’a pas les même moyens que Google." />
Et il sait récompenser de manière geeks ses lecteurs. " />
#3
bonne stratégie " />
juste par curiosité, MS a-t-il déjà offert ce genre de récompense ?
#4
Par contre je trouve dommage qu’ils ne cherchent pas déjà à corriger les milliers de bugs (cf. project Chromium sur Google Code) de Chrome / Chrome OS qui attendent parfois depuis des années sans avancement…. devraient sérieusement penser à recruter davantage ou accepter les push requests façon mozilla
#5
#6
#7
#8
#9
#10
#11
#12
#13
#14
#15
#16
#17
Sympa chez Google !
Chez Apple, c’est le montant de l’amende si tu rapportes une faille. " />
#18
Raté! Il est beaucoup plus rentable de garder les failles pour soit et les exploiter.
Mais je leur en donne une gratosse:
#19
“jusqu’a” " />
#20
#21
Chrome OS étant le premier OS limité à un navigateur, le risque de trouver des failles est de ce fait assez circonscrit (le code de Chrome OS représente probablement à peine quelques % du code de Windows en volume dans le meilleur des cas…).
#22
#23
Ce que les rédacteur de la news semblent avoir loupé, c’est que la somme de “plus de 3 Millions de dollars” est en faite de $3.14159 Millions exactement.
Ça ressemble beaucoup au nombre PI et ce n’est pas certainement pas un hasard. Comme quoi, eux aussi, tel que Knuth ils savent faire des références un peu Geek " />