Project Zero, le programme de chasse aux vulnérabilités de Google, vient de lancer le Project Zero Prize. Cette nouvelle initiative vise à encourage la découverte de faille de sécurité en parallèle des nombreux concours de hacking et autres Bug Bounty, y compris chez Google.
Mais pas n’importe quelles failles de sécurités. Seulement celles qui ont trait à la possibilité d’exécuter du code à distance sur plusieurs terminaux Android à partir de leur numéro de téléphone ou adresse e-mail. Et pour motiver les chercheurs, Google ne lésine pas sur les moyens. Le premier prix est doté de 200 000 dollars de récompense, suivi de 100 000 dollars pour le deuxième. La firme réserve également 50 000 dollars dans le cadre du Android Security Rewards si la preuve de faisabilité apportée touche la TrustZone (zone de confiance) ou le Verified Boot (démarrage vérifié) du terminal. Seuls sont pris en compte les terminaux de la firme californienne, à savoir les Nexus 5X et 6P fonctionnant sur Android 7.0 dit Nougat.
Ce nouveau défi, ouvert depuis le 13 septembre et jusqu’au 14 mars 2017, est structuré de manière un peu différente des autres. « Au lieu de compiler un ensemble de bugs puis de les soumettre au Project Zero Prize, les participants sont invités à signaler les bugs dans le système de suivi d’Android, explique Natalie Silvanovich de l’équipe du projet. Ils peuvent alors être utilisés comme une partie de la présentation par le participant à tout moment pendant la durée du concours de six mois. Seule la première personne à déposer un bug peut l’utiliser comme une partie de sa présentation, alors déposez vite et souvent ! » Les bugs non exploitables pour la démonstration seront néanmoins considérés dans les autres programmes de récompense de sécurité de Google histoire de ne pas décourager les participants (et poursuivre la chasse aux bugs).
Avec cette initiative, Google rejoint donc celle d’Apple. En août, la firme de Cupertino inaugurait son bug bounty sur iOS et iCloud. Un programme qui offre également jusqu’à 200 000 dollars au vainqueur. Mais certaines sociétés n’hésitent pas à jouer la surenchère pour être les premières à mettre la main sur des vulnérabilités système critiques. C’est notamment le cas d’Exodus Intelligence qui propose jusqu’à 500 000 dollars pour une faille zero day sur iOS9 (et plus). En 2015, Zerodium était allé jusqu’à proposer 1 million de dollars pour ce même type d’exploit. Autant de vulnérabilités que ces entreprises tentent de revendre aux plus offrants, notamment des organisations gouvernementales.
Lire également
Une faille zero day sur iOS 9 vaut 500 000 dollars
Google double sa récompense pour hacker le Chromebook
Sécurité : OVH lance son premier Bug Bounty
Accord de principe entre créanciers, propositions de reprise, discussions avec l'État... Le point sur le…
Un temps pressenti pour constituer le socle d'une suite bureautique AWS, Amazon WorkDocs arrivera en…
Eviden regroupe cinq familles de serveurs sous la marque BullSequana AI. Et affiche le supercalculateur…
Le dernier Magic Quadrant du SSE (Secure Service Edge) dénote des tarifications et des modèles…
Formats de paramètres, méthodes d'apprentissage, mutualisation GPU... Voici quelques-unes des recommandations de l'ANSSI sur l'IA…
À la grogne des partenaires VMware, Broadcom répond par diverses concessions.