Android : Google récompense les failles trouvées dans les applications tierces

Android : Google récompense les failles trouvées dans les applications tierces

Le taureau par les cornes

Avatar de l'auteur
Vincent Hermann

Publié dans

Logiciel

20/10/2017 4 minutes
22

Android : Google récompense les failles trouvées dans les applications tierces

Google vient d’ouvrir un nouveau programme de chasse aux bugs. Centré sur Android, il se propose de rémunérer, à hauteur de 1 000 dollars, ceux qui trouveront des failles exploitables à distance dans les applications tierces.

Ces programmes, souvent qualifiés de « bug bounties », jouent un rôle essentiel dans la sécurité informatique au sens large. Il encourage les chercheurs à se pencher sur des solutions particulières pour y détecter des vulnérabilités. Auquel cas ils peuvent en communiquer les détails à l’éditeur concerné, qui lui verse une somme en retour. Le montant dépend du programme et des caractéristiques de la faille.

Google en a déjà un pour ses principaux produits, notamment Chrome. Mais cette fois, la firme en ouvre un centré sur les applications tierces du Play Store. Car oui, c’est bien ce que propose l’entreprise : rémunérer des chercheurs pour avoir découvert des failles dans des produits ne lui appartenant pas.

Un programme particulièrement ouvert

Le nouveau programme passe par la plateforme américaine HackerOne et exige que le chercheur ait d’abord communiqué dans un premier temps avec l’éditeur responsable. Par exemple, une brèche est découverte dans Snapchat. Le chercheur se met en relation avec Snap pour travailler ensemble à la résolution du problème. Après correction, il peut alors remplir un formulaire dans le programme de Google pour être payé.

La somme peut être d’un maximum de 1 000 dollars. Elle peut paraître peu élevée, mais généralisée à l’ensemble du Store, il se pourrait que la facture puisse être salée pour Google si son programme remporte le succès escompté. Surtout, il envoie un signal fort : Google est consciente que la sécurité des applications tierces laisse trop souvent à désirer et veut donc inciter par l’argent à davantage se pencher sur cette question.

Pour l’instant, le type de faille est par contre restreint. Elles doivent toutes être de type RCE (remote-code-execution), donc exploitables à distance, et être accompagnées de prototypes d’exploitation. Sorti de ces conditions, le programme ne fait aucune exception sur les applications tierces, mais il faut que la vulnérabilité soit exploitable sur Android 4.4 ou une version ultérieure, autrement dit celles supportées par les Play Services. Point important, Google n’exige même pas que la sandbox soit percée.

Le Play Security Reward Program est international et se veut pour l’instant expérimental. Dans son annonce, Google explique en effet qu’il peut être arrêté à tout moment. Aucun employé de Google ou d’un partenaire de Google ne peut y participer. Notez cependant que les rapports envoyés pour des applications Google ou Chrome se qualifient automatiquement pour un examen dans le nouveau programme. Selon les cas, il peut donc y avoir double récompense.

L'éternelle chasse aux vulnérabilités

L’annonce reste importante dans ce qu’elle implique. L’efficacité des programmes de chasse dépend cependant directement des sommes versées. Nous avons souligné ce point à plusieurs reprises (voir cette actualité, ou celle-ci), car de l’efficacité de ces programmes découle également la sécurité générale. Les failles de sécurité sont selon les acteurs des nuisances à éliminer aussi vite que possible, une monnaie d’échange, voire des armes.

Chaque vulnérabilité trouvée et soumise à un programme rémunéré est une opportunité de moins pour des pirates ou des agences de renseignements. Bien que les deux ne puissent pas être mis dans le même panier, le résultat est le même : toute brèche non colmatée est une épée de Damoclès au-dessus des utilisateurs. Il suffit de se rappeler de WannaCrypt, une faille dans Windows connue de la NSA, jusqu’à ce que les pirates commencent à l’exploiter.

Mais quel que soit l'impact positif de cette initiative, certains s'étonneront que Google prenne ainsi les choses en main. Le fait que la firme en arrive à distribuer de l'argent pour des applications ne lui appartenant pas peut résonner comme une forme d'aveu que la situation a nécessité son intervention.

On s'étonnera également de voir Google lancer un tel programme alors qu'il ne participe à d'autres du même acabit. Par exemple, The Internet Bug Bounty, lancé par HackerOne et focalisé sur les technologies fondatrices du web d'aujourd'hui, comme OpenSSL, PHP ou encore Ruby. Microsoft et Facebook le soutiennent pourtant.

22

Écrit par Vincent Hermann

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Un programme particulièrement ouvert

L'éternelle chasse aux vulnérabilités

Le brief de ce matin n'est pas encore là

Partez acheter vos croissants
Et faites chauffer votre bouilloire,
Le brief arrive dans un instant,
Tout frais du matin, gardez espoir.

Commentaires (22)




Mais quel que soit l’impact positif de cette initiative, certains s’étonneront que Google prenne ainsi les choses en main. Le fait que la firme en arrive à distribuer de l’argent pour des applications ne lui appartenant pas peut résonner comme une forme d’aveu que la situation a nécessité son intervention.



Oui c’est assez gros comme décision!



Sur ce, je vous laisse, je vais coder une appli pleine de failles pour les signaler et choper les bounties <img data-src=" />








jackjack2 a écrit :



Oui c’est assez gros comme décision!



Sur ce, je vous laisse, je vais coder une appli pleine de failles pour les signaler et choper les bounties <img data-src=" />





Et combien tu paies ? <img data-src=" />



Si on considère qu’un appli qui demande une autorisation dont elle n’a pas besoin est une faille, Google va faire faillite en quelques jours <img data-src=" />


[HS, mais qu’à moitié]



Et sinon, l’article sur KRACK, la faille de WPA2, promis pour la matinée ce mardi, il en est où ?





la faille WPA2 dévoilée hier, et sur laquelle nous reviendrons en détail dans la matinée





Désolé de la relance, mais l’article s’est peut-être perdu quelque part…

[/HS]


il faut vraiment qu’il aime ton application. il risque de la supprimer et ne plus te faire confiance


Quand il sera prêt à être publié, il le sera :)


Merci de ta réponse.



Tant qu’il est publié une matinée, ça me va.



En fait, je commençais à vraiment croire qu’il y avait un loupé technique ayant empêché la publication. Genre, je clique sur publication et ça part dans /dev/null.



Le sujet n’est pas forcément simple quand on veut être exhaustif et je comprends que ça puisse être un peu long à écrire.








David_L a écrit :



Quand il sera prêt à être publié, il le sera :)







Il va être corsé, alors ? (c’est inquiétant)



Faire du vrai journalisme ca prend du temps ;)

Pour les aticles à la “va-vite” il y a les breves ;)








Krogoth a écrit :



Faire du vrai journalisme ca prend du temps ;)

Pour les aticles à la “va-vite” il y a les breves ;)







Surtout que “Krack”, c’est un mot inquiétant <img data-src=" />



Est-ce que les applications “à tester sans installer” pourront à terme être vérifiées dans ce programme ? <img data-src=" />








Jarodd a écrit :



Est-ce que les applications “à tester sans installer” pourront à terme être vérifiées dans ce programme ? <img data-src=" />







Quand tu vois le nombre de patches qu’il faut à chaque fois. ils devront prendre plus de temps avant de ne pas sortir une connerie.



L’année dernière j’ai trouvé une vielle faille sous chrome qui permet via un bug flash de faire le focus sur l’avant dernier onglet d’ouvert et de récupérer l’url du dernier onglet d’ouvert. Ça permet par exemple de savoir que vous avez ouvert facebook, pour ouvrir un fake facebook déconnecté sur l’avant dernier onglet puis de faire le focus dessus et de pouvoir récupérer les identifiants d’un utilisateurs.



Y’a moyen d’avoir un bif sachant que ça utilise flash qui est quasiment désactivé partout ?








2show7 a écrit :



Surtout que “Krack”, c’est un mot inquiétant <img data-src=" />





C’est “KRACK”, un mot qui dépoutre bien plus encore.



C’est du lourd !



J’ai vu qu’on en parlait ailleurs, sans y avoir jeté un coup d’oeil, je suis assez insouciant comme beaucoup trop qui ne lise pas NXI <img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" />








2show7 a écrit :



J’ai vu qu’on en parlait ailleurs, sans y avoir jeté un coup d’oeil, je suis assez insouciant comme beaucoup trop qui ne lise pas NXI <img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" />





“Aïe !” me signale le gyrus fusiforme de mon hémisphère gauche à la lecture de la dernière partie de ta phrase, après la seconde virgule. Et “lapincompris” confirment les zones corticales sollicitées en aval : gyrus angulaire gauche, cortex frontal inférieur gauche, diverses zones temporales et temporo-occipitales.





Reformule, je ne serai pas le seul à apprécier. <img data-src=" />









picoteras a écrit :



“Aïe !” me signale le gyrus fusiforme de mon hémisphère gauche à la lecture de la dernière partie de ta phrase, après la seconde virgule. Et “lapincompris” confirment les zones corticales sollicitées en aval : gyrus angulaire gauche, cortex frontal inférieur gauche, diverses zones temporales et temporo-occipitales.





Reformule, je ne serai pas le seul à apprécier. <img data-src=" />







Insouciant comme tout ceux qui disent qui n’en ont rien à faire de leur vie privé (mais je n’aimerais pas personnellement qu’on fasse respecter certaines lois sans juge). je préfère

qu’on fasse des lois pour protéger le citoyens contre le piratage de la vie privé



Je peux te confirmer qu’il l’est. J’ai un boulot fou.


Tu vas regarder ton Android pas à jour avec un autre oeil. <img data-src=" />


La vérité c’est que le sous titres pour l’article sur Krack n’a pas encore été trouvé.








psn00ps a écrit :



Tu vas regarder ton Android pas à jour avec un autre oeil. <img data-src=" />







Ma tablette (quad core à 1ghz) qui rame et mon smartphone (quad core1.3 ghz, un peu moins) sont tous les deux branché quand wi-fi, est-ce que ça pourrait poser problème ? (je suppose que c’est le cas ou il faut que soit près de ceux qui utilisent cette faille). Mon GSM portable 3110C nokia n’est pas Androïd.









MoonRa a écrit :



La vérité c’est que le sous titres pour l’article sur Krack n’a pas encore été trouvé.







  • Android sous KRACK : la redescente va être difficile

  • KRACK : le Wifi pète un câble



    y a moyen, moi j’dis <img data-src=" />