Sécurité : Google subventionne la recherche de vulnérabilités

Christophe Lagane,

Après les récompenses pour les bugs trouvés, Google renforce sa sécurité en proposant un programme de subventions pour les bugs recherchés.

Google fait évoluer son Security Reward Programs (VRP), son programme visant à récompenser les dénicheurs de bugs de ses produits, en particulier ceux affectant son navigateur Chrome. La firme de Mountain View a lancé, en janvier 2015, un nouveau programme de sécurité expérimental visant à la fois à élargir les produits concernés par la chasse aux bugs et relancer l’intérêt des chercheurs pour cette activité. Sur ce dernier point, le moteur de recherche lance Vulnerability Research Grants (VRG), un programme de subventionnement qui s’inscrit en complément de VRP.

La recherche subventionnée de vulnérabilités se limite aux nouveaux produits et fonctionnalités dont Google fournira la liste au fil de son programme. Ainsi que le montant des récompenses qui s’étaleront entre 500 et 3 133,7 dollars par recherche. Ouvert à tous les chercheurs de sécurité extérieurs à la firme et autres experts invités, VRG affiche la particularité de récompenser les participants même s’ils font choux blanc dans leur travaux. Et s’ils ont le bonheur de trouver une vulnérabilité, ils participent alors à VRP et ses largesses. Les intéressés trouveront les détails de fonctionnement du programme sur cette page.

Ouverture aux applications mobiles

Cette initiative permet ainsi de motiver les chercheurs à maintenir leur vigilance afin de permettre à Google de multiplier les chances d’assurer l’intégrité de ses produits. « Les efforts des chercheurs à travers [VRP] combinés à notre travail de sécurité interne rendent incroyablement difficile la recherche de bugs. Bien sûr, c’est une bonne nouvelle, mais cela peut alors décourager les chercheurs qui investissent de leur temps et se démènent à trouver des failles », justifie l’ingénieur en sécurité de Google Eduardo Vela Nava dans une contribution de blog. Les subventions devraient ainsi assurer à Google de conserver une communauté de brillants dénicheurs de bugs. Et, par les temps qui courent, la sécurité est loin d’être un luxe.

En parallèle à cette nouvelle initiative, Eduardo Vela Nava en profite pour annoncer l’ouverture du programme classique de récompenses, VRP, aux applications mobiles pour Android et iTunes (iOS). Il nous rappelle par ailleurs que, depuis l’ouverture du programme en 2010, Google a distribué plus de 4 millions de dollars en récompenses, dont 1,5 million en 2014 répartis entre plus de 200 chercheurs qui ont trouvé plus de 500 bugs. Le meilleur d’entre eux a gagné 150 000 dollars l’année dernière. Un moteur anti-vulnérabilité qui n’a plus à faire ses preuves aujourd’hui renforcée par le nouveau système de subventionnement, donc.

Lire également
Correctifs de sécurité en pagaille pour Google Chrome 40
Google ignore la colère de Microsoft en publiant une autre faille Windows
Flash Player victime d’une faille zero day exploitée

crédit photo © drx – Fotolia.com