Google généreux pour une zero day sur Android Nougat

Christophe Lagane,

En plus de ses bug bounty habituels, Google ouvre un nouveau concours fort rémunérateur pour dénicher les vulnérabilités critiques dans ses smartphones.

Project Zero, le programme de chasse aux vulnérabilités de Google, vient de lancer le Project Zero Prize. Cette nouvelle initiative vise à encourage la découverte de faille de sécurité en parallèle des nombreux concours de hacking et autres Bug Bounty, y compris chez Google.

Mais pas n’importe quelles failles de sécurités. Seulement celles qui ont trait à la possibilité d’exécuter du code à distance sur plusieurs terminaux Android à partir de leur numéro de téléphone ou adresse e-mail. Et pour motiver les chercheurs, Google ne lésine pas sur les moyens. Le premier prix est doté de 200 000 dollars de récompense, suivi de 100 000 dollars pour le deuxième. La firme réserve également 50 000 dollars dans le cadre du Android Security Rewards si la preuve de faisabilité apportée touche la TrustZone (zone de confiance) ou le Verified Boot (démarrage vérifié) du terminal. Seuls sont pris en compte les terminaux de la firme californienne, à savoir les Nexus 5X et 6P fonctionnant sur Android 7.0 dit Nougat.

Google rejoint Apple

Ce nouveau défi, ouvert depuis le 13 septembre et jusqu’au 14 mars 2017, est structuré de manière un peu différente des autres. « Au lieu de compiler un ensemble de bugs puis de les soumettre au Project Zero Prize, les participants sont invités à signaler les bugs dans le système de suivi d’Android, explique Natalie Silvanovich de l’équipe du projet. Ils peuvent alors être utilisés comme une partie de la présentation par le participant à tout moment pendant la durée du concours de six mois. Seule la première personne à déposer un bug peut l’utiliser comme une partie de sa présentation, alors déposez vite et souvent ! » Les bugs non exploitables pour la démonstration seront néanmoins considérés dans les autres programmes de récompense de sécurité de Google histoire de ne pas décourager les participants (et poursuivre la chasse aux bugs).

Avec cette initiative, Google rejoint donc celle d’Apple. En août, la firme de Cupertino inaugurait son bug bounty sur iOS et iCloud. Un programme qui offre également jusqu’à 200 000 dollars au vainqueur. Mais certaines sociétés n’hésitent pas à jouer la surenchère pour être les premières à mettre la main sur des vulnérabilités système critiques. C’est notamment le cas d’Exodus Intelligence qui propose jusqu’à 500 000 dollars pour une faille zero day sur iOS9 (et plus). En 2015, Zerodium était allé jusqu’à proposer 1 million de dollars pour ce même type d’exploit. Autant de vulnérabilités que ces entreprises tentent de revendre aux plus offrants, notamment des organisations gouvernementales.

Lire également
Une faille zero day sur iOS 9 vaut 500 000 dollars
Google double sa récompense pour hacker le Chromebook
Sécurité : OVH lance son premier Bug Bounty

Crédit Photo : Smeisatch-Shutterstock