Pour gérer vos consentements :

Google révise à la hausse les récompenses de son programme de recherche de bugs sur Android. Une décision prise après que personne ne soit parvenu à casser les services de sécurité TrustZone et Verified Boot de l’OS mobile. Jusqu’à aujourd’hui, Google versait une prime maximum de 30 000 dollars pour une exploitation à distance via la compromission de ces services. Maintenant, la firme américaine va proposer 50 000 dollars. Par contre, les compteurs restent à 30 000 dollars pour une attaque ou une chaîne d’attaque contre ces deux services via une application ou avec un accès physique au terminal.

Toujours dans un souci dl’incitation, Google porte de 20 000 à 30 000 dollars la prime pour un exploit à distance ou proche du noyau. Pour mémoire en mars dernier, il avait remonté à 100 000 dollars la récompense pour une compromission persistante et en mode invité de son Chromebook.

Plus de 250 primes

Sur son Bug Bounty, Google a indiqué avoir attribué plus de 250 primes pour récompenser la découverte de vulnérabilités valides en 2015. Mais un quart des failles résidait dans le code de fournisseurs tiers comme le noyau ou dans les drivers des périphériques. Au total, la société a versé 550 000 dollars à 82 chercheurs en sécurité, soit une moyenne par bug de 2 200 dollars et de 6 700 dollars par chercheurs. Mais certains raflent plus de primes que les autres. C’est le cas de @heisecode qui a glané 75 750 dollars pour 26 rapports de vulnérabilité. Google n’a néanmoins pas précisé quelle personne a proposé le plus grand nombre de bug. Il a simplement souligné que 15 chercheurs ont atteint 10 000 dollars pour plusieurs bugs.

A lire aussi :

Hack le Pentagone : déjà 100 bugs découverts

Bounty Factory : la recherche de bugs made in Europe est née

Crédit Photo :  Twin Design – shutterstock

Recent Posts

Pistage : les navigateurs ne s’attaquent pas qu’aux cookies

Dans la lignée de Brave, Firefox met en place un mécanisme de filtrage de certains…

6 heures ago

Open Source : la Fondation Linux veut normaliser l’accès aux DPU

L’effort porte sur la standardisation de la pile logicielle prenant en charge les processeurs de…

8 heures ago

vSphere+ : qu’y a-t-il dans la vitrine multicloud de VMware ?

VMware a structuré une offre commerciale favorisant l'accès à des capacités cloud à travers vCenter.…

8 heures ago

Le PEPR cybersécurité prend forme : les choses à savoir

Le PEPR rattaché à la stratégie nationale de cybersécurité a connu une forme d'officialisation la…

13 heures ago

ESN : Numeum s’étoffe et précise ses priorités

Numeum, qui réprésente les ESN et éditeurs de logiciels en France, a précisé sa feuille…

1 jour ago

HPE Discover 2022 : Red Hat rejoint l’écosystème GreenLake

OpenShift, RHEL, Ansible... Red Hat va proposer une version sur site avec paiement à l'usage…

1 jour ago