Google annonce une prime de 40 000 $ pour signaler des bugs dans le système d'exploitation Android

Google invite les hackers éthiques et les chercheurs en sécurité à trouver des vulnérabilités de sécurité dans Android avec une offre de 40 000 $ (25 600 £)

Google commencera à verser une récompense allant jusqu’à 40 000 $ (25 600 £) aux chercheurs en sécurité qui trouvent des bugs dans ses appareils Android. La société a également annoncé un nouveau programme pour s’assurer de la sécurité des logiciels tiers sur le système d’exploitation Android en incitant les développeurs à ne pas utiliser de bibliothèques de programmation obsolètes dans leurs applications.

Adrian Ludwig, le responsable de la sécurité Android, a déclaré : « Nous voyons le mobile devenir probablement le moyen le plus important pour les gens de se connecter à Internet. De plus, nous constatons qu’il fournit une vérification en deux étapes et qu’il est porteur d’espoir dans la manière dont les utilisateurs interagissent. »

Cependant, la plupart des recherches en sécurité se concentrent encore sur les systèmes hérités. Nous essayons de changer cela en incitant les chercheurs en sécurité à concentrer leurs efforts sur le mobile. Le nouveau programme appelé « Android Security Rewards » suivra la réalisation d’un programme similaire pour le navigateur web Chrome de Google. En 2014, la société a versé plus de 1,5 million de dollars aux chercheurs en sécurité.

Ludwig dit que la décision d’examiner les applications Android pour des bibliothèques logicielles pouvant créer une menace de sécurité a été prise il y a un an et sera maintenant déployée au-delà de son introduction « expérimentale ». Il a également déclaré qu’en ce qui concerne le scan des applications, nous ne chercherons pas délibérément un comportement malveillant, mais nous chercherons des erreurs.

Ludwig a donné l’exemple clair d’OpenSSL, qui est la bibliothèque de cryptage open-source qui était dans l’esprit de la vulnérabilité Heartbleed de 2014.

Ludwig a déclaré que nous surveillons une vieille histoire d’OpenSSL. Il y a environ un an, nous avons commencé à scanner les applications et à notifier les développeurs s’ils avaient commis ce type d’erreur. « Notre objectif est d’atteindre un point où il y a une base commune et nous voulons mettre en place des structures pour aider les développeurs à mettre à jour leurs applications, afin que la valeur de toutes les applications augmente. »

Les développeurs qui souhaitent réclamer la récompense de Google pour les bugs devront montrer des vulnérabilités affectant les deux appareils Nexus expédiés par la société, à savoir le Nexus 6 et le Nexus 9. En raison de la division du marché Android, Google ne peut pas prouver si les bugs affectant d’autres appareils Android sont la faute du système d’exploitation ou des ajouts du fabricant. Les récompenses sont sur un niveau glissant, allant de 500 $ pour un bug mineur offert sans travail supplémentaire autre que l’identification, jusqu’à 38 000 $ pour une faiblesse sévère fournie avec une preuve de concept d’utilisation à distance et une zone pour corriger le problème. « Notre objectif est que cela puisse être une étude à temps plein et une opportunité très bien rémunérée », déclare Ludwig.

Un autre programme de sécurité de Google nommé Project Zero a valu à la société un léger débat pour sa pratique de publication de preuves de concept en utilisant les appareils d’autres entreprises. Ce projet vise à reconnaître des vulnérabilités précédemment non identifiées et à les révéler ensuite aux fabricants avec une limite de temps de 90 jours pour les corriger. Si aucune correction n’est en vue, le groupe publiera l’attaque publiquement, pour inciter les entreprises à accélérer leurs correctifs de sécurité.

Bien que la société pratique ce qu’elle prêche : Ludwig dit que les vulnérabilités Android sont recherchées par Project Zero. Si Project Zero identifie un problème, nous avons alors une limite de temps pour travailler dans cet objectif, comme tout le monde. Nous n’avons jusqu’à présent pas manqué de délai.

« Nous croyons complètement en la nécessité de faire réagir les fabricants rapidement, toutes ces parties devraient répondre rapidement. »