Android : Google récompense les failles trouvées dans les applications tierces
Le taureau par les cornes
Le 20 octobre 2017 à 13h01
4 min
Logiciel
Logiciel
Google vient d’ouvrir un nouveau programme de chasse aux bugs. Centré sur Android, il se propose de rémunérer, à hauteur de 1 000 dollars, ceux qui trouveront des failles exploitables à distance dans les applications tierces.
Ces programmes, souvent qualifiés de « bug bounties », jouent un rôle essentiel dans la sécurité informatique au sens large. Il encourage les chercheurs à se pencher sur des solutions particulières pour y détecter des vulnérabilités. Auquel cas ils peuvent en communiquer les détails à l’éditeur concerné, qui lui verse une somme en retour. Le montant dépend du programme et des caractéristiques de la faille.
Google en a déjà un pour ses principaux produits, notamment Chrome. Mais cette fois, la firme en ouvre un centré sur les applications tierces du Play Store. Car oui, c’est bien ce que propose l’entreprise : rémunérer des chercheurs pour avoir découvert des failles dans des produits ne lui appartenant pas.
Un programme particulièrement ouvert
Le nouveau programme passe par la plateforme américaine HackerOne et exige que le chercheur ait d’abord communiqué dans un premier temps avec l’éditeur responsable. Par exemple, une brèche est découverte dans Snapchat. Le chercheur se met en relation avec Snap pour travailler ensemble à la résolution du problème. Après correction, il peut alors remplir un formulaire dans le programme de Google pour être payé.
La somme peut être d’un maximum de 1 000 dollars. Elle peut paraître peu élevée, mais généralisée à l’ensemble du Store, il se pourrait que la facture puisse être salée pour Google si son programme remporte le succès escompté. Surtout, il envoie un signal fort : Google est consciente que la sécurité des applications tierces laisse trop souvent à désirer et veut donc inciter par l’argent à davantage se pencher sur cette question.
Pour l’instant, le type de faille est par contre restreint. Elles doivent toutes être de type RCE (remote-code-execution), donc exploitables à distance, et être accompagnées de prototypes d’exploitation. Sorti de ces conditions, le programme ne fait aucune exception sur les applications tierces, mais il faut que la vulnérabilité soit exploitable sur Android 4.4 ou une version ultérieure, autrement dit celles supportées par les Play Services. Point important, Google n’exige même pas que la sandbox soit percée.
Le Play Security Reward Program est international et se veut pour l’instant expérimental. Dans son annonce, Google explique en effet qu’il peut être arrêté à tout moment. Aucun employé de Google ou d’un partenaire de Google ne peut y participer. Notez cependant que les rapports envoyés pour des applications Google ou Chrome se qualifient automatiquement pour un examen dans le nouveau programme. Selon les cas, il peut donc y avoir double récompense.
L'éternelle chasse aux vulnérabilités
L’annonce reste importante dans ce qu’elle implique. L’efficacité des programmes de chasse dépend cependant directement des sommes versées. Nous avons souligné ce point à plusieurs reprises (voir cette actualité, ou celle-ci), car de l’efficacité de ces programmes découle également la sécurité générale. Les failles de sécurité sont selon les acteurs des nuisances à éliminer aussi vite que possible, une monnaie d’échange, voire des armes.
Chaque vulnérabilité trouvée et soumise à un programme rémunéré est une opportunité de moins pour des pirates ou des agences de renseignements. Bien que les deux ne puissent pas être mis dans le même panier, le résultat est le même : toute brèche non colmatée est une épée de Damoclès au-dessus des utilisateurs. Il suffit de se rappeler de WannaCrypt, une faille dans Windows connue de la NSA, jusqu’à ce que les pirates commencent à l’exploiter.
Mais quel que soit l'impact positif de cette initiative, certains s'étonneront que Google prenne ainsi les choses en main. Le fait que la firme en arrive à distribuer de l'argent pour des applications ne lui appartenant pas peut résonner comme une forme d'aveu que la situation a nécessité son intervention.
On s'étonnera également de voir Google lancer un tel programme alors qu'il ne participe à d'autres du même acabit. Par exemple, The Internet Bug Bounty, lancé par HackerOne et focalisé sur les technologies fondatrices du web d'aujourd'hui, comme OpenSSL, PHP ou encore Ruby. Microsoft et Facebook le soutiennent pourtant.
Le 20 octobre 2017 à 13h01
Android : Google récompense les failles trouvées dans les applications tierces
-
Un programme particulièrement ouvert
-
L'éternelle chasse aux vulnérabilités
Commentaires (22)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 20/10/2017 à 13h17
#1
Mais quel que soit l’impact positif de cette initiative, certains s’étonneront que Google prenne ainsi les choses en main. Le fait que la firme en arrive à distribuer de l’argent pour des applications ne lui appartenant pas peut résonner comme une forme d’aveu que la situation a nécessité son intervention.
Oui c’est assez gros comme décision!
Sur ce, je vous laisse, je vais coder une appli pleine de failles pour les signaler et choper les bounties
Le 20/10/2017 à 13h22
#2
Le 20/10/2017 à 13h30
#3
Si on considère qu’un appli qui demande une autorisation dont elle n’a pas besoin est une faille, Google va faire faillite en quelques jours
" />
Le 20/10/2017 à 13h31
#4
[HS, mais qu’à moitié]
Et sinon, l’article sur KRACK, la faille de WPA2, promis pour la matinée ce mardi, il en est où ?
la faille WPA2 dévoilée hier, et sur laquelle nous reviendrons en détail dans la matinée
Désolé de la relance, mais l’article s’est peut-être perdu quelque part…
[/HS]
Le 20/10/2017 à 13h31
#5
il faut vraiment qu’il aime ton application. il risque de la supprimer et ne plus te faire confiance
Le 20/10/2017 à 13h36
#6
Quand il sera prêt à être publié, il le sera :)
Le 20/10/2017 à 13h42
#7
Merci de ta réponse.
Tant qu’il est publié une matinée, ça me va.
En fait, je commençais à vraiment croire qu’il y avait un loupé technique ayant empêché la publication. Genre, je clique sur publication et ça part dans /dev/null.
Le sujet n’est pas forcément simple quand on veut être exhaustif et je comprends que ça puisse être un peu long à écrire.
Le 20/10/2017 à 13h45
#8
Le 20/10/2017 à 13h47
#9
Faire du vrai journalisme ca prend du temps ;)
Pour les aticles à la “va-vite” il y a les breves ;)
Le 20/10/2017 à 13h50
#10
Le 20/10/2017 à 14h16
#11
Est-ce que les applications “à tester sans installer” pourront à terme être vérifiées dans ce programme ?
" />
Le 20/10/2017 à 14h25
#12
Le 20/10/2017 à 14h43
#13
L’année dernière j’ai trouvé une vielle faille sous chrome qui permet via un bug flash de faire le focus sur l’avant dernier onglet d’ouvert et de récupérer l’url du dernier onglet d’ouvert. Ça permet par exemple de savoir que vous avez ouvert facebook, pour ouvrir un fake facebook déconnecté sur l’avant dernier onglet puis de faire le focus dessus et de pouvoir récupérer les identifiants d’un utilisateurs.
Y’a moyen d’avoir un bif sachant que ça utilise flash qui est quasiment désactivé partout ?
Le 20/10/2017 à 15h28
#14
Le 20/10/2017 à 15h37
#15
J’ai vu qu’on en parlait ailleurs, sans y avoir jeté un coup d’oeil, je suis assez insouciant comme beaucoup trop qui ne lise pas NXI
" />
" />
" />
" />
" />
Le 20/10/2017 à 17h38
#16
Le 20/10/2017 à 17h51
#17
Le 21/10/2017 à 19h51
#18
Je peux te confirmer qu’il l’est. J’ai un boulot fou.
Le 21/10/2017 à 19h53
#19
Tu vas regarder ton Android pas à jour avec un autre oeil.
" />
Le 22/10/2017 à 07h23
#20
La vérité c’est que le sous titres pour l’article sur Krack n’a pas encore été trouvé.
Le 23/10/2017 à 11h34
#21
Le 23/10/2017 à 12h43
#22