Chrome : jusqu’à 15 000 dollars pour la découverte d’une faille

Une décoration offerte pour réfrigérateur

Le 01 octobre 2014 à 13h59

3 min

Logiciel

Google a décidé de revoir à la hausse les primes offertes aux découvreurs de bugs dans ses produits. Une manière de séduire ceux qui pourraient court-circuiter chez certains le désir de monnayer autrement leurs découvertes.

De 500 à 15 000 dollars en fonction de l'importance du problème

Dans une annonce faite hier, Google a décidé d’augmenter singulièrement les sommes offertes aux découvreurs de bugs dans Chrome, en fonction de la taille du problème et des explications qui l’accompagnent. Jusqu’à présent, la récompense pouvait aller de 500 à 5 000 dollars. Nous avions cependant déjà vu que la firme pouvait aller au-delà, faisant des exceptions quand le bug était très sérieux ou pour « honorer » un travail réalisé sur un ensemble de problèmes.

Désormais, si les petits bugs seront toujours récompensés par une enveloppe de 500 dollars, les chercheurs pourront obtenir jusqu’à 15 000 dollars par faille détectée. Google se réserve dans tous les cas le droit d’aller plus loin afin de marquer le coup si un travail exceptionnel devrait être récompensé. Ce fut d’ailleurs le cas le mois dernier avec une prime de 30 000 dollars pour ce que la firme décrit comme un « rapport impressionnant ».

Un code d'exploitation obligatoire pour atteindre le maximum

Mais attention, car le palier de 15 000 dollars ne correspond pas tout à fait à l’ancien. L’éditeur précise ainsi que pour prétendre à la somme maximale, le découvreur d’une faille devra accompagner sa trouvaille d’explications claires, et surtout d’un code d’exploitation valide qui permettra aux ingénieurs de Mountain View d’en vérifier immédiatement le fonctionnement.

Par ailleurs, les chercheurs ont la possibilité d’envoyer l’ensemble des informations en deux temps : soumettre d’abord la vulnérabilité à l’examen, puis le code d’exploitation plus tard, quand il est prêt. Google estime que ce fonctionnement permettra à tout le monde d’être gagnant puisque le patch sera développé plus tôt et les chercheurs pourront revendiquer immédiatement la paternité de leurs découvertes.

Google ajoute deux petits bonus. Premièrement, cette nouvelle méthode de calcul va être appliquée rétroactivement sur l’ensemble des bugs soumis depuis le 1er juillet dernier. Des chercheurs recevront donc parfois un chèque supplémentaire. Deuxièmement, les bugs et failles de Chrome permettront à leurs découvreurs de figurer dans la liste des « Reward Recipients », ce qui permettra, selon Google, d’avoir « quelque chose à imprimer et à accrocher sur le réfrigérateur ».

Commentaires (11)

metaphore54

Le 01/10/2014 à 16h15

C’est toujours beaucoup moins cher qu’embaucher du monde pour le faire.

RaYz

Le 01/10/2014 à 16h47

jmanici a écrit :

Mouais sauf que sur le marché noir, une faille pour un navigateur genre Chrome ou IE/vista se négocie au moins à 50 000$

D'ailleurs au concours pwn2own la recompense était de 100 000$ pour une faille IE/Chrome et 75 000$ pour une faille safari/firefox.

15 000$ pour un PoC fonctionnel c’est ridiculement bas. Un tel truc prend souvent plusieurs mois homme de développement.

Ué enfin si on va par là c’est sur que tu as de fortes chances de gagner plus au marché noir…

Tu peux voler l’argent aussi plutôt que de le gagner.

jmanici

Le 01/10/2014 à 17h54

RaYz a écrit :

Ué enfin si on va par là c’est sur que tu as de fortes chances de gagner plus au marché noir…

Tu peux voler l’argent aussi plutôt que de le gagner.

La vente de failles à des organismes comme la NSA est parfaitement legal.

Même des sociétés françaises comme VUPEN le font.

Et c’est plus juteux que 15 000$ pour un PoC fonctionnel avec bypass de sandbox.

RaYz

Le 01/10/2014 à 18h27

jmanici a écrit :

La vente de failles à des organismes comme la NSA est parfaitement legal.

Même des sociétés françaises comme VUPEN le font.

Et c’est plus juteux que 15 000$ pour un PoC fonctionnel avec bypass de sandbox.

Ué mais dans ce cas c’est pas le marché noir…

jmanici

Le 01/10/2014 à 19h12

RaYz a écrit :

Ué mais dans ce cas c’est pas le marché noir…

C’est le marché gris.

En tout cas c’est plus rentable que d’offrir un PoC à prix cassé à l’éditeur du logiciel en question.

Tifeing

Le 01/10/2014 à 14h19

Et sinon, les salariés dédiés à la sécurité et à la stabilité du navigateur, ils ont des primes aussi? " />

Sinon, tant mieux qu’ils redistribuent un peu de leur argent pour renforcer Chrome.

iksarfighter

Le 01/10/2014 à 14h20

doublon

pyro-700

Le 01/10/2014 à 14h41

j’ai découvert une faille c’est d’avoir installer chrome sur mon pc, est ce que je pourrait toucher la prime car c’est une trés grosse faille quand même??? " />

john san Abonné

Le 01/10/2014 à 14h50

Comment est ce que le montant est calculé? Et pourquoi le “jusqu’à”?

Quand une faille est trouvée, comment qualifient-ils la faille pour déterminer le montant?

arno53

Le 01/10/2014 à 15h12

john san a écrit :

Comment est ce que le montant est calculé? Et pourquoi le “jusqu’à”?

Quand une faille est trouvée, comment qualifient-ils la faille pour déterminer le montant?

Bah déjà la porter de l’attaque … Si elle arrive a exécuté du code distant, à sortir de la sandbox … etc

De plus certaines technique utilisé par les hackers pointe une faiblesse global du logiciel qui va amener à mettre en place une sécurité qui ne vas pas juste combler cette faille mais bloquer différent vecteur d’attaque etc .. (voir la dernière partie de cette news)

jmanici

Le 01/10/2014 à 16h12

Mouais sauf que sur le marché noir, une faille pour un navigateur genre Chrome ou IE/vista se négocie au moins à 50 000$

D'ailleurs au concours pwn2own la recompense était de 100 000$ pour une faille IE/Chrome et 75 000$ pour une faille safari/firefox.

15 000$ pour un PoC fonctionnel c’est ridiculement bas. Un tel truc prend souvent plusieurs mois homme de développement.