Google récompense les chasseurs de failles

par François Arias
publié le 4 novembre 2010 à 11h20

En janvier dernier, Google avait lancé un programme de récompenses pour améliorer la sécurité de son navigateur Chromium (la version open-source de Chrome). Si la faille/bug soumis était considéré comme éligible, la personne l'ayant découvert touchait une somme allant de 500 à 1337 dollars.

Et visiblement le programme a si bien marché qu'il va être étendu à de nombreux autres services de Google.

C'est désormais « toutes les propriétés web de Google incluant des données utilisateurs sensibles » qui sont concernées par ces récompenses. La découverte (et le signalement) de failles sur des sites comme Youtube, Gmail ou Blogger pourra donc être récompensée. Le montant des primes est revu à la hausse, commençant toujours à 500 dollars mais pouvant atteindre 3133,7 dollars (visiblement on aime le leetspeak chez Google). L'appréciation des bugs et la distribution des récompenses seront gérées par l'équipe de développement. De plus, un certain nombre de règles ont été mises en place : pas question par exemple d'utiliser le compte d'un tiers pour trouver une faille, il faudra utiliser son propre compte ou un compte bidon monté pour l'occasion. La liste complète des règles du «jeu» est disponible sur le blog sécurité de Google.

Ce genre d'initiative n'est pas nouveau, la fondation Mozilla offre par exemple jusqu'à 3000 $ pour les failles de sécurité découvertes dans ses programmes. Une manière plutôt élégante d'utiliser (et d'encourager) le travail des «white hats», ces «gentils pirates» qui signalent les failles plutôt que de les exploiter à des fins malhonnêtes. Reste que la collaboration entre ces curieux qui viennent vérifier si les serrures sont bien fermées et les entreprises n'est pas forcément très bien huilée. Ces dernières préfèrent souvent que leurs failles ne soient pas rendues publiques, notamment pour des raisons d'image. Certaines firmes vont même jusqu'à lancer des actions en justice contre les personnes leur ayant signalé des failles.

On se souvient par exemple de l'affaire Zataz/Forever Living Products France il y a un peu plus d'un an. Le site avait reporté à l'entreprise Forever Living Products (FLP) une faille découverte par un de ses lecteurs. La faille avait été rapidement corrigée et Zataz remercié. Cependant, lorsque quelques mois plus tard la faille avait été décrite, FLP avait attaqué le site en justice. La plainte avait finalement été retirée devant le concert de protestations qui avait suivi.

Lire les réactions à cet article.

Pour aller plus loin :

Dans la même rubrique

Les plus lus