Google r compense les chasseurs de failles

En janvier dernier, Google avait lanc un programme de r compenses pour am

liorer la s curit de son navigateur Chromium (la version open-source de

Chrome). Si la faille/bug soumis tait consid r comme ligible, la personne l

ayant d couvert touchait une somme allant de 500 1337 dollars. Et visiblement

le programme a si bien march qu il va tre tendu de nombreux autres

services de Google.

C est d sormais toutes les propri t s web de Google incluant des donn es

utilisateurs sensibles qui sont concern es par ces r compenses. La d couverte

(et le signalement) de failles sur des sites comme Youtube, Gmail ou Blogger

pourra donc tre r compens e. Le montant des primes est revu la hausse,

commen ant toujours 500 dollars mais pouvant atteindre 3133,7 dollars

(visiblement on aime le leetspeak chez Google). L appr ciation des bugs et la

distribution des r compenses seront g r es par l quipe de d veloppement. De

plus, un certain nombre de r gles ont t mises en place : pas question par

exemple d utiliser le compte d un tiers pour trouver une faille, il faudra

utiliser son propre compte ou un compte bidon mont pour l occasion. La liste

compl te des r gles du jeu est disponible sur le blog s curit de Google.

Ce genre d initiative n est pas nouveau, la fondation Mozilla offre par exemple

jusqu 3000 $ pour les failles de s curit d couvertes dans ses programmes.

Une mani re plut t l gante d utiliser (et d encourager) le travail des white

hats , ces gentils pirates qui signalent les failles plut t que de les

exploiter des fins malhonn tes. Reste que la collaboration entre ces curieux

qui viennent v rifier si les serrures sont bien ferm es et les entreprises n

est pas forc ment tr s bien huil e. Ces derni res pr f rent souvent que leurs

failles ne soient pas rendues publiques, notamment pour des raisons d image.

Certaines firmes vont m me jusqu lancer des actions en justice contre les

personnes leur ayant signal des failles.

On se souvient par exemple de l affaire Zataz/Forever Living Products France il

y a un peu plus d un an. Le site avait report l entreprise Forever Living

Products (FLP) une faille d couverte par un de ses lecteurs. La faille avait t

rapidement corrig e et Zataz remerci . Cependant, lorsque quelques mois plus

tard la faille avait t d crite, FLP avait attaqu le site en justice. La

plainte avait finalement t retir e devant le concert de protestations qui

avait suivi.