Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Google proposera jusqu’à 150 000 dollars pour une faille dans Chrome OS

Simple, direct... efficace ?

Google proposera jusqu'à 150 000 dollars pour une faille dans Chrome OS

Le 29 janvier 2013 à 11h04

Google s’intéresse de très près à la sécurité de son système Chrome OS. Maintenant que les Chromebooks commencent à réaliser des scores de ventes intéressants, la firme a tout intérêt à blinder ses défenses. Elle organise donc un concours visant à trouver et documenter des failles. Et Google se donne les moyens de ses ambitions.

Samsung Chromebook

En complément du concours Pwn2Own 

Google a déjà réalisé à deux reprises des concours de sécurité. Baptisés Pwnium, ils permettent aux experts en sécurité et autres de se pencher sur les défenses du navigateur Chrome pour y trouver des failles. Si des brèches sont trouvées et correctement exploitées, Google paye en monnaie sonnante et trébuchante. La somme dépend du degré d’exploitation et de la dangerosité de la faille.

 

Cette année, la conférence CanSecWest se tiendra du 6 au 8 mars à Vancouver. Comme toujours, elle accueillera une compétition baptisée Pwn2Own dans laquelle la sécurité de tous les navigateurs doit être mise à mal. Il s’agit d’un rendez-vous important permettant de faire le point sur le degré de sécurité offert par chaque butineur. Toutefois, puisque Google sera présent à cette compétition, le contenu de son propre concours Pwnium sera cette fois modifié.

Jusqu'à 150 000 dollars pour une faille exploitée et documentée

Comme l’indique Google dans un billet sur son blog, Pwnium vise cette fois Chrome OS. Avec un nombre croissant de machines en direction de plusieurs constructeurs et une hausse des ventes, le système d’exploitation risque clairement d’attirer l’attention. Pour attirer les hackers et autres chercheurs en sécurité, Google n’y va d’ailleurs pas par quatre chemins : les récompenses promises sont largement supérieures à celles décernées habituellement.

 

Plus de trois millions de dollars seront ainsi distribués au total. Le degré des récompenses dépend du type de faille, mais l’exploitation et donc la compromission du système doivent toujours faire partie de la démonstration :

  • Pour une faille dans le navigateur ou une compromission du système en mode invité ou avec un utilisateur connecté, exploitée via une page web : 110 000 dollars
  • Pour une faille exploitée et persistante, invité à invité, avec un redémarrage entre temps : 150 000 dollars

Les démonstrations devront être faites sur un portable Samsung Series 5 550 équipé de la dernière version stable de Chrome OS. Tous les composants du système peuvent être utilisés, sans limite, y compris le noyau Linux lui-même et les pilotes.

 

Google insiste sur un point essentiel : quelle que soit la faille, elle doit obligatoirement être inconnue. Elle devra être dûment documentée et la méthode devra être clairement expliquée. Si plusieurs failles sont utilisées dans une chaine, la règle reste la même.

 

Évidemment, il s’agit pour Google d’attirer vers Chrome OS des personnes capables de braquer une lumière assez crue sur son système. En proposant des sommes élevées, la firme peut espérer motiver les foules, et les bénéfices seront très réels : plus des failles seront trouvées de cette manière, moins Chrome OS sera susceptible d’être un vecteur d’exploitations élaborées. 

Commentaires (23)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

<img data-src=" /> ça paye mieux que le dollar hexadécimal pour les coquilles/erreurs dans les bouquins de Knuth

votre avatar

Donald n’a pas les même moyens que Google.<img data-src=" />

Et il sait récompenser de manière geeks ses lecteurs. <img data-src=" />

votre avatar

bonne stratégie <img data-src=" />



juste par curiosité, MS a-t-il déjà offert ce genre de récompense ?

votre avatar

Par contre je trouve dommage qu’ils ne cherchent pas déjà à corriger les milliers de bugs (cf. project Chromium sur Google Code) de Chrome / Chrome OS qui attendent parfois depuis des années sans avancement…. devraient sérieusement penser à recruter davantage ou accepter les push requests façon mozilla

votre avatar







anonumus a écrit :



bonne stratégie <img data-src=" />



juste par curiosité, MS a-t-il déjà offert ce genre de récompense ?







non sinon il serais en faillite <img data-src=" />


votre avatar







go_ali a écrit :



non sinon il serais en faillite <img data-src=" />





<img data-src=" />


votre avatar







go_ali a écrit :



non sinon il serais en faillite <img data-src=" />







On comprend pourquoi Androïd n’est pas concerné donc.


votre avatar







-DTL- a écrit :



Donald n’a pas les même moyens que Google.<img data-src=" />

Et il sait récompenser de manière geeks ses lecteurs. <img data-src=" />







Clair, je pense qu’il est plus gratifiant de trouver une erreur dans The Art of Computer Programming qu’une erreur dans un OS



Tiens sinon un truc qui m’interpelle :



Si Google récompense grassement les failles déjà exploitées et que cela ramène moult développeurs sur l’OS, est-ce que ça ne vas pas justement inciter les méchants à trouver des failles plus profondes et beaucoup plus difficilement détectables et/ou corrigibles ?


votre avatar







John Shaft a écrit :



Si Google récompense grassement les failles déjà exploitées et que cela ramène moult développeurs sur l’OS, est-ce que ça ne vas pas justement inciter les méchants à trouver des failles plus profondes et beaucoup plus difficilement détectables et/ou corrigibles ?





Tu veux dire que les failles exploitables seront plus difficiles à trouver, plus chères sur le marché et moins utilisables par la Mme Michu des pirates?



Mais c’est terrible!


votre avatar







John Shaft a écrit :



Clair, je pense qu’il est plus gratifiant de trouver une erreur dans The Art of Computer Programming qu’une erreur dans un OS



Tiens sinon un truc qui m’interpelle :



Si Google récompense grassement les failles déjà exploitées et que cela ramène moult développeurs sur l’OS, est-ce que ça ne vas pas justement inciter les méchants à trouver des failles plus profondes et beaucoup plus difficilement détectables et/ou corrigibles ?







Ben sans ça, les méchants se contenteraient des failles moins difficilement détectables et corrigibles que les gentils n’auraient pas cherché.



Par ailleurs, les gentils ne sont pas forcément moins doués que les méchants.


votre avatar







le podoclaste a écrit :



Par ailleurs, les gentils ne sont pas forcément moins doués que les méchants.







<img data-src=" />



Néanmoins, il me semble les méchants ont toujours un coup d’avance sur les gentils (voir les faille 0-day de Java, Windows…)


votre avatar







John Shaft a écrit :



<img data-src=" />



Néanmoins, il me semble les méchants ont toujours un coup d’avance sur les gentils (voir les faille 0-day de Java, Windows…)





Puis surtout c’est marrant des fois dans les exploits ils laissent la date de l’écriture du code, Ils profitent de failles pendant plusieurs années tranquillou avant de les publier <img data-src=" />


votre avatar







John Shaft a écrit :



<img data-src=" />



Néanmoins, il me semble les méchants ont toujours un coup d’avance sur les gentils (voir les faille 0-day de Java, Windows…)







Ben quand un système n’a pas de faille exploitable connue, on peut dire que les gentils ont un coup d’avance.



C’est comme dans la théorie de la reine rouge en biologie évolutive : il faut courir pour rester sur place.


votre avatar







le podoclaste a écrit :



Ben quand un système n’a pas de faille exploitable connue, on peut dire que les gentils ont un coup d’avance.







Pas faux


votre avatar







le podoclaste a écrit :



Ben quand un système n’a pas de faille exploitable connue, on peut dire que les gentils ont un coup d’avance.





On peut aussi dire que les méchants sont peut-être en train d’exploiter tranquillement une faille connue d’eux seuls aussi.



Evil often wins.


votre avatar







Drepanocytose a écrit :



On peut aussi dire que les méchants sont peut-être en train d’exploiter tranquillement une faille connue d’eux seuls aussi.



Evil often wins.





<img data-src=" /> don’t be <img data-src=" /> <img data-src=" />


votre avatar

Sympa chez Google !



Chez Apple, c’est le montant de l’amende si tu rapportes une faille. <img data-src=" />

votre avatar

Raté! Il est beaucoup plus rentable de garder les failles pour soit et les exploiter.



Mais je leur en donne une gratosse:





  • webkit est en c++……… <img data-src=" />

votre avatar

“jusqu’a” <img data-src=" />

votre avatar







sylware a écrit :





  • webkit est en c++……… <img data-src=" />





    Tu fume de la bonne copain!


votre avatar

Chrome OS étant le premier OS limité à un navigateur, le risque de trouver des failles est de ce fait assez circonscrit (le code de Chrome OS représente probablement à peine quelques % du code de Windows en volume dans le meilleur des cas…).

votre avatar







Holly Brius a écrit :



Tu fume de la bonne copain!







P’tet bin qu’oui… p’tet bin qu’non (je me met au niveau du troll).



<img data-src=" />


votre avatar

Ce que les rédacteur de la news semblent avoir loupé, c’est que la somme de “plus de 3 Millions de dollars” est en faite de $3.14159 Millions exactement.



Ça ressemble beaucoup au nombre PI et ce n’est pas certainement pas un hasard. Comme quoi, eux aussi, tel que Knuth ils savent faire des références un peu Geek <img data-src=" />

Google proposera jusqu’à 150 000 dollars pour une faille dans Chrome OS

  • En complément du concours Pwn2Own 

Fermer