Google indique que les points saillants de l’augmentation des primes de bogues incluent le triplement de la récompense maximale pour un rapport dit « basique » avec très peu de détails de 5 000 $ à 15 000 dollars. La récompense maximale pour un rapport dit de « haute qualité », avec une multitude d’informations qui expliquent par exemple comment le bug peut-être exploité par des pirates, quelle est sa source, ou comment il peut-être résolu, double également de 15 000 dollars à 30 000 dollars, selon l’article du blog Chrome Security.
La plus grosse somme est toujours pour la découverte de vulnérabilité dans Chrome OS, la base logicielle de Google pour Chromebook ou Chromebox. A ce niveau, Google a également augmenté sa récompense à 150 000 dollars pour des chercheurs qui parviendront à découvrir des attaques qui peuvent compromettre un Chromebook ou une Chromebox dans son mode invité plus restreint. Les bogues de sécurité trouvés dans le firmware et / ou qui permettent aux attaquants de contourner l'écran de verrouillage de Chrome OS génèrent également des récompenses, d’après l’article de blog.
Google a créé son programme de prime de bogue depuis 2010. Jusqu’à ce jour, Google a reçu plus de 8 500 rapports de bogues et versé 5 millions de dollars aux chercheurs. La première modification de la base des récompenses a été faite en septembre 2014, quatre ans après le lancement du programme. Et en ce temps-là, le programme de prime aux bogues Chrome de Google avait payé plus de 1,25 million de dollars aux chercheurs en sécurité qui ont trouvé plus de 700 bogues dans son navigateur, mais Google avait trouvé que ce n'est pas suffisant. Cinq ans après, le nombre de rapports passe de 700 à 8 500 et le géant de la Silicon Valley a décidé de tripler les récompenses.
En plus des augmentations citées plus haut, Google a aussi augmenté les récompenses pour le fuzz testing (ou test à données aléatoires), une technique pour tester des logiciels utilisée également par les chasseurs de bogues qui consiste à lancer des données aléatoires dans les entrées d’un produit logiciel dans le but de localiser les intrants problématiques. D’après l’article de blog, « Le bonus supplémentaire accordé aux bogues trouvés par les fuzzers fonctionnant sous le programme Chrome Fuzzer a également doublé à 1 000 dollars ».
L’augmentation a aussi touché les montants versés aux chercheurs pour le Google Play Security Reward Program. En effet, les récompenses pour les bogues d'exécution de code à distance sont passées de 5 000 dollars à 20 000 dollars, le vol de données privées non sécurisées de 1 000 dollars à 3 000 dollars et l'accès aux composants protégés des applications de 1 000 dollars à 3 000 dollars, a dit Google jeudi. De surcroît, si vous divulguez de manière « responsable » les vulnérabilités aux développeurs d'applications participants, vous obtiendrez un bonus, d'après Google.
Ci-dessous, la nouvelle liste augmentée et l'ancienne table des primes de bogues. Les récompenses pour les bogues de sécurité admissibles varient généralement de 500 $ à 150 000 $.
Ancienne liste de récompenses
Nouvelle liste de récompenses
Les entreprises de technologie privilégient de plus en plus les primes de bogues pour faire participer les chercheurs en sécurités dans la sécurisation de leurs produits contre des attaques qui peuvent être utilisées pour voler des données personnelles, accéder aux réseaux d'entreprise, prendre des ordinateurs en otage jusqu'à ce qu'une rançon soit versée ou simplement planter la machine.
Après la rocambolesque attaque contre Facebook qui a eu lieu en septembre dernier, affectant environ 30 millions de comptes, et au cours de laquelle des jetons d'accès (tokens) à des comptes ont été volés, Facebook a annoncé une augmentation de certaines récompenses pour son programme de Bug Bounty. « Notre objectif est de veiller à ce que des vulnérabilités, comme celle qui nous a été révélée en septembre, nous soient signalées de la manière la plus responsable et la plus opportune possible », déclaré la société.
Ainsi dorénavant, pour la découverte et le signalement de vulnérabilités permettant des fuites de jetons d'accès ou la possibilité d'accéder à des sessions valides d'utilisateurs, ce sera 40 000 dollars si une interaction de l'utilisateur (pour une exploitation) n'est pas requise, et 25 000 dollars s'il y a un minimum d'interaction. Facebook a indiqué que cela vaut pour tous les produits de Facebook, y compris Instagram, WhatsApp et Oculus.
En avril, après le scandale Cambridge Analytica, Facebook avait lancé également « Data Abuse Bounty » pour récompenser les signalements d'abus de données, dont les primes peuvent atteindre 40 000 de dollars.
Mais ce ne sont pas seulement les entreprises de technologie qui récompensent les chasseurs de bogues, les gouvernements et les criminels paient également pour les vulnérabilités, qu’ils peuvent utiliser dans des activités comme l'espionnage et le vol d'identité.
Dans billet de blog, Google a clarifié également ce qu'il considère comme un rapport de haute qualité et a mis à jour les catégories de bogues pour faciliter la tâche aux les chercheurs. « Nous avons également clarifié ce que nous considérons comme un rapport de haute qualité, pour aider les journalistes à obtenir la récompense la plus élevée possible, et nous avons mis à jour les catégories de bogues pour mieux refléter les types de bogues qui sont signalés et qui nous intéressent le plus », a précisé l’entreprise.
Google dit que cette augmentation pour les chasseurs de bogues Chrome sera appliquée aux soumissions déposées après la publication de son article de blog. Vous trouvez plus de détails sur l’augmentation ici.
Source : Google Security Blog
Et vous ?
Que pensez-vous de cette augmentation effectuée par Google ?
Avez-vous déjà remporté une récompense pour avoir révélé une vulnérabilité ? Racontez votre expérience ?
Lire aussi
Google lance un nouveau programme de chasse aux bogues dans les applications Android, publiées par des développeurs tiers
Scandale C.A. : Facebook lance « Data Abuse Bounty » pour récompenser les signalements d'abus de données, les primes peuvent atteindre 40 000 $ USD
Apple pourrait payer une récompense au garçon de 14 ans qui a découvert le bogue, permettant d'espionner le destinataire d'un appel dans FaceTime
Uber ou l'art de faire travailler les chasseurs de bogues sans leur verser de primes ? Un chercheur en sécurité raconte son expérience