En janvier dernier, Google avait lanc un programme de r compenses pour am
liorer la s curit de son navigateur Chromium (la version open-source de
Chrome). Si la faille/bug soumis tait consid r comme ligible, la personne l
ayant d couvert touchait une somme allant de 500 1337 dollars. Et visiblement
le programme a si bien march qu il va tre tendu de nombreux autres
services de Google.
C est d sormais toutes les propri t s web de Google incluant des donn es
utilisateurs sensibles qui sont concern es par ces r compenses. La d couverte
(et le signalement) de failles sur des sites comme Youtube, Gmail ou Blogger
pourra donc tre r compens e. Le montant des primes est revu la hausse,
commen ant toujours 500 dollars mais pouvant atteindre 3133,7 dollars
(visiblement on aime le leetspeak chez Google). L appr ciation des bugs et la
distribution des r compenses seront g r es par l quipe de d veloppement. De
plus, un certain nombre de r gles ont t mises en place : pas question par
exemple d utiliser le compte d un tiers pour trouver une faille, il faudra
utiliser son propre compte ou un compte bidon mont pour l occasion. La liste
compl te des r gles du jeu est disponible sur le blog s curit de Google.
Ce genre d initiative n est pas nouveau, la fondation Mozilla offre par exemple
jusqu 3000 $ pour les failles de s curit d couvertes dans ses programmes.
Une mani re plut t l gante d utiliser (et d encourager) le travail des white
hats , ces gentils pirates qui signalent les failles plut t que de les
exploiter des fins malhonn tes. Reste que la collaboration entre ces curieux
qui viennent v rifier si les serrures sont bien ferm es et les entreprises n
est pas forc ment tr s bien huil e. Ces derni res pr f rent souvent que leurs
failles ne soient pas rendues publiques, notamment pour des raisons d image.
Certaines firmes vont m me jusqu lancer des actions en justice contre les
personnes leur ayant signal des failles.
On se souvient par exemple de l affaire Zataz/Forever Living Products France il
y a un peu plus d un an. Le site avait report l entreprise Forever Living
Products (FLP) une faille d couverte par un de ses lecteurs. La faille avait t
rapidement corrig e et Zataz remerci . Cependant, lorsque quelques mois plus
tard la faille avait t d crite, FLP avait attaqu le site en justice. La
plainte avait finalement t retir e devant le concert de protestations qui
avait suivi.