Project Zero, le programme de chasse aux vulnérabilités de Google, vient de lancer le Project Zero Prize. Cette nouvelle initiative vise à encourage la découverte de faille de sécurité en parallèle des nombreux concours de hacking et autres Bug Bounty, y compris chez Google.
Mais pas n’importe quelles failles de sécurités. Seulement celles qui ont trait à la possibilité d’exécuter du code à distance sur plusieurs terminaux Android à partir de leur numéro de téléphone ou adresse e-mail. Et pour motiver les chercheurs, Google ne lésine pas sur les moyens. Le premier prix est doté de 200 000 dollars de récompense, suivi de 100 000 dollars pour le deuxième. La firme réserve également 50 000 dollars dans le cadre du Android Security Rewards si la preuve de faisabilité apportée touche la TrustZone (zone de confiance) ou le Verified Boot (démarrage vérifié) du terminal. Seuls sont pris en compte les terminaux de la firme californienne, à savoir les Nexus 5X et 6P fonctionnant sur Android 7.0 dit Nougat.
Ce nouveau défi, ouvert depuis le 13 septembre et jusqu’au 14 mars 2017, est structuré de manière un peu différente des autres. « Au lieu de compiler un ensemble de bugs puis de les soumettre au Project Zero Prize, les participants sont invités à signaler les bugs dans le système de suivi d’Android, explique Natalie Silvanovich de l’équipe du projet. Ils peuvent alors être utilisés comme une partie de la présentation par le participant à tout moment pendant la durée du concours de six mois. Seule la première personne à déposer un bug peut l’utiliser comme une partie de sa présentation, alors déposez vite et souvent ! » Les bugs non exploitables pour la démonstration seront néanmoins considérés dans les autres programmes de récompense de sécurité de Google histoire de ne pas décourager les participants (et poursuivre la chasse aux bugs).
Avec cette initiative, Google rejoint donc celle d’Apple. En août, la firme de Cupertino inaugurait son bug bounty sur iOS et iCloud. Un programme qui offre également jusqu’à 200 000 dollars au vainqueur. Mais certaines sociétés n’hésitent pas à jouer la surenchère pour être les premières à mettre la main sur des vulnérabilités système critiques. C’est notamment le cas d’Exodus Intelligence qui propose jusqu’à 500 000 dollars pour une faille zero day sur iOS9 (et plus). En 2015, Zerodium était allé jusqu’à proposer 1 million de dollars pour ce même type d’exploit. Autant de vulnérabilités que ces entreprises tentent de revendre aux plus offrants, notamment des organisations gouvernementales.
Lire également
Une faille zero day sur iOS 9 vaut 500 000 dollars
Google double sa récompense pour hacker le Chromebook
Sécurité : OVH lance son premier Bug Bounty
L'Autorité de la concurrence et des marchés (CMA) a lancé la phase de recherche de…
Broadcom remplace pas moins de 168 logiciels VMware par deux grandes licences de location correspondant…
La banque d’investissement de BNP Paribas utilise l'IA pour proposer des stratégies d’investissement individualisées, en…
OVHCloud partage ses efforts environnementaux au sommet de l’Open Compute Project qui se tient à…
Avec Phi-3-mini, Microsoft lance un SLM conçu pour attirer une clientèle disposant de ressources financières…
La Commission européenne serait sur le point d'approuver la proposition d'Apple visant à fournir à…