Lancés dans les années 1990, les programmes de Bug Bounty sont aujourd’hui utilisés par Apple, Microsoft, Facebook ou encore Netflix. Ils visent à préserver le grand public de failles de sécurité en offrant une certaine somme d’argent à de véritables chasseurs de prime, version 2.0, qui parviennent à les trouver les premiers et les signalent afin qu'elles puissent être corrigées. En d’autres termes, ces géants de l’informatique paient des hackers professionnels pour les informer, preuve à l’appui, de potentielles menaces. Et les récompenses sont des plus attrayantes…

Dans un billet publié sur son blog dédié aux questions de sécurité, Google a fait savoir jeudi dernier que son programme de Récompenses de sécurité Android, créé en 2015, a depuis donné lieu à quelque 1 800 rapports de bugs pour lesquels l’entreprise a versé pas moins de 4 millions de dollars au total. Rien que sur les douze derniers mois, plus d’1,5 million de dollars ont ainsi été offerts à une centaine de "chercheurs", pas comme les autres, qui étaient parvenus à déceler des failles dans son système d’exploitation. Et alors que sa plus grosse récompense versée sur l’année 2019 s’est chiffrée à 161 337 dollars, le géant de Mountain View affirme qu’il poursuit son Bug Bounty sur une nouvelle année avec qui plus est une prime exceptionnelle : un million de dollars à quiconque parviendra à exploiter une faille via l’exécution d’un code à distance qui compromettra la puce de sécurité Titan M des smartphones Pixel.

Il ne s’agit pas de n’importe quelle puce. Arrivée avec le Google Pixel 3, et par la suite installée sur ses successeurs que sont le Pixel 3 XL, le Pixel 3a, le Pixel 3a XL et tout récemment le Pixel 4, celle-ci s’assure de la protection des données et veut ainsi faire de ces smartphones haut-de-gamme Android des appareils aussi sécurisés que les iPhone d’Apple. La hauteur de la prime record ainsi offerte par Google traduit d’ailleurs une certaine assurance de l’entreprise quant à ce composant Titan M. Sans compter que, et ce n’est sans doute pas un hasard, elle est calquée sur celle proposée depuis cet été par la marque à la pomme croquée pour l’individu qui découvrira une faille dans son fameux iOS.

Ajouté à cela, et encore une fois tout comme Apple, Google offre un bonus de 50% pour le chasseur de prime 2.0 qui aura réussi à exploiter une faille sur des versions bêta d’Android. De quoi porter le montant maximal qu’un chercheur en sécurité peut espérer à 1,5 million de dollars. Et là on ne parle que des plus hautes récompenses, Google ayant toujours prévu des lots allant de 100 000 à 250 000 dollars pour ceux qui parviendront à contourner l’écran de verrouillage du smartphone ou encore attaquer le noyau de son système d’exploitation. La chasse est ouverte !

Sources : Google Security Blog, Google Application Security, The Verge