Trouvez la faille et Google vous offrira 1000 $

  Posted On   By Graham CLULEY  

 

Google a annoncé un nouveau programme de primes accessible à la découverte de bugs. Ce programme vise à détecter les failles de sécurité dans les applications Android populaires sur le Google Play Store.

 

Curieusement, les applications que Google veut que vous analysiez à la recherche de vulnérabilités, dans le cadre de son programme « Google Play Security Reward », ne sont pas uniquement celles crées par le géant sur l’Android app store officiel, mais aussi celles d’autres développeurs.

À l’heure actuelle, dans le cadre du programme annoncé récemment, il n’y a qu’une courte liste de développeurs tiers, considérées éligibles à une récompense de 1000 $ de la part de Google en cas de détection de faille avérée :

 

  • Alibaba
  • Dropbox
  • Duolingo
  • Headspace
  • Line
  • Mail.ru
  • Snapchat
  • Tinder

 

Google demande aux chercheurs en vulnérabilité de signaler les problèmes directement aux développeurs de l’application concernée. Une fois la correction effectuée par l’éditeur de l’application concernée, le white hat a jusqu’à 90 jours pour remonter l’information au programme Play Security afin que l’attribution d’une prime soit envisagée.

N’allez pas croire que vous allez vous remplir les poches pour n’importe quelle vulnérabilité trouvée dans une application Android éligible. Comme l’expliquent les équipes de Google, les primes sont limités aux défauts d’exécution de code à distance (RCE), à savoir toute vulnérabilité d’exécution de code à distance permettant à un attaquant d’exécuter le code de son choix sur le périphérique d’un utilisateur sans connaissance ni autorisation.

Les exemples de vulnérabilités éligibles comprennent les attaques qui permettent de télécharger et d’exécuter du code malveillant, de manipuler l’interface utilisateur pour provoquer une transaction frauduleuse ou d’ouvrir une vue Web dans une application pour du phishing.

Dans un article de blog, Google explique les raisons qui ont motivé la création du programme :

 

Le programme est limité à un certain nombre de développeurs en ce moment pour récolter les premiers retours. Les développeurs peuvent contacter leur responsable de partenariat Google Play pour manifester leur intérêt. Tous les développeurs bénéficieront de la découverte des bugs car nous analyserons toutes les applications à leur place et leur fournirons des recommandations de sécurité pour les applications concernées.

 

Un programme de prime à la découverte d’un bug comme celui-ci ne peut être que bénéfique. C’est une bonne nouvelle pour les développeurs d’applications (qui apprécieront sûrement que des vulnérabilités leur soient signalées pour qu’elles puissent être corrigées avant qu’elles ne soient exploitées), c’est une bonne nouvelle pour Google (qui veut améliorer coûte que coûte la réputation du Google Play, et en faire une référence et source sûre), et c’est aussi une bonne solution pour les chercheurs en vulnérabilité qui peuvent tirer profit de leurs découvertes.

Oh, et surtout, c’est une bonne nouvelle pour les utilisateurs !