Google s’intéresse de très près à la sécurité de son système Chrome OS. Maintenant que les Chromebooks commencent à réaliser des scores de ventes intéressants, la firme a tout intérêt à blinder ses défenses. Elle organise donc un concours visant à trouver et documenter des failles. Et Google se donne les moyens de ses ambitions.
En complément du concours Pwn2Own
Google a déjà réalisé à deux reprises des concours de sécurité. Baptisés Pwnium, ils permettent aux experts en sécurité et autres de se pencher sur les défenses du navigateur Chrome pour y trouver des failles. Si des brèches sont trouvées et correctement exploitées, Google paye en monnaie sonnante et trébuchante. La somme dépend du degré d’exploitation et de la dangerosité de la faille.
Cette année, la conférence CanSecWest se tiendra du 6 au 8 mars à Vancouver. Comme toujours, elle accueillera une compétition baptisée Pwn2Own dans laquelle la sécurité de tous les navigateurs doit être mise à mal. Il s’agit d’un rendez-vous important permettant de faire le point sur le degré de sécurité offert par chaque butineur. Toutefois, puisque Google sera présent à cette compétition, le contenu de son propre concours Pwnium sera cette fois modifié.
Jusqu'à 150 000 dollars pour une faille exploitée et documentée
Comme l’indique Google dans un billet sur son blog, Pwnium vise cette fois Chrome OS. Avec un nombre croissant de machines en direction de plusieurs constructeurs et une hausse des ventes, le système d’exploitation risque clairement d’attirer l’attention. Pour attirer les hackers et autres chercheurs en sécurité, Google n’y va d’ailleurs pas par quatre chemins : les récompenses promises sont largement supérieures à celles décernées habituellement.
Plus de trois millions de dollars seront ainsi distribués au total. Le degré des récompenses dépend du type de faille, mais l’exploitation et donc la compromission du système doivent toujours faire partie de la démonstration :
- Pour une faille dans le navigateur ou une compromission du système en mode invité ou avec un utilisateur connecté, exploitée via une page web : 110 000 dollars
- Pour une faille exploitée et persistante, invité à invité, avec un redémarrage entre temps : 150 000 dollars
Les démonstrations devront être faites sur un portable Samsung Series 5 550 équipé de la dernière version stable de Chrome OS. Tous les composants du système peuvent être utilisés, sans limite, y compris le noyau Linux lui-même et les pilotes.
Google insiste sur un point essentiel : quelle que soit la faille, elle doit obligatoirement être inconnue. Elle devra être dûment documentée et la méthode devra être clairement expliquée. Si plusieurs failles sont utilisées dans une chaine, la règle reste la même.
Évidemment, il s’agit pour Google d’attirer vers Chrome OS des personnes capables de braquer une lumière assez crue sur son système. En proposant des sommes élevées, la firme peut espérer motiver les foules, et les bénéfices seront très réels : plus des failles seront trouvées de cette manière, moins Chrome OS sera susceptible d’être un vecteur d’exploitations élaborées.
