Les Bug Bountys consistent à offrir des récompenses à des "chasseurs de prime" qui décèlent des failles de sécurité informatiques.
Smartphones

1,5 million de dollars pour qui pourra hacker les Google Pixel

Les Bug Bountys consistent à offrir des récompenses à des "chasseurs de prime" qui décèlent des failles de sécurité informatiques. © daviles / Adobe Stock

Le géant de Mountain View poursuit son programme de Bug Bounty, qui récompense les petits malins capables de trouver des failles de sécurité dans les smartphones munis de son fameux système d’exploitation Android.

Lancés dans les années 1990, les programmes de Bug Bounty sont aujourd’hui utilisés par Apple, Microsoft, Facebook ou encore Netflix. Ils visent à préserver le grand public de failles de sécurité en offrant une certaine somme d’argent à de véritables chasseurs de prime, version 2.0, qui parviennent à les trouver les premiers et les signalent afin qu'elles puissent être corrigées. En d’autres termes, ces géants de l’informatique paient des hackers professionnels pour les informer, preuve à l’appui, de potentielles menaces. Et les récompenses sont des plus attrayantes…

Dans un billet publié sur son blog dédié aux questions de sécurité, Google a fait savoir jeudi dernier que son programme de Récompenses de sécurité Android, créé en 2015, a depuis donné lieu à quelque 1 800 rapports de bugs pour lesquels l’entreprise a versé pas moins de 4 millions de dollars au total. Rien que sur les douze derniers mois, plus d’1,5 million de dollars ont ainsi été offerts à une centaine de "chercheurs", pas comme les autres, qui étaient parvenus à déceler des failles dans son système d’exploitation. Et alors que sa plus grosse récompense versée sur l’année 2019 s’est chiffrée à 161 337 dollars, le géant de Mountain View affirme qu’il poursuit son Bug Bounty sur une nouvelle année avec qui plus est une prime exceptionnelle : un million de dollars à quiconque parviendra à exploiter une faille via l’exécution d’un code à distance qui compromettra la puce de sécurité Titan M des smartphones Pixel.

Il ne s’agit pas de n’importe quelle puce. Arrivée avec le Google Pixel 3, et par la suite installée sur ses successeurs que sont le Pixel 3 XL, le Pixel 3a, le Pixel 3a XL et tout récemment le Pixel 4, celle-ci s’assure de la protection des données et veut ainsi faire de ces smartphones haut-de-gamme Android des appareils aussi sécurisés que les iPhone d’Apple. La hauteur de la prime record ainsi offerte par Google traduit d’ailleurs une certaine assurance de l’entreprise quant à ce composant Titan M. Sans compter que, et ce n’est sans doute pas un hasard, elle est calquée sur celle proposée depuis cet été par la marque à la pomme croquée pour l’individu qui découvrira une faille dans son fameux iOS.

Ajouté à cela, et encore une fois tout comme Apple, Google offre un bonus de 50% pour le chasseur de prime 2.0 qui aura réussi à exploiter une faille sur des versions bêta d’Android. De quoi porter le montant maximal qu’un chercheur en sécurité peut espérer à 1,5 million de dollars. Et là on ne parle que des plus hautes récompenses, Google ayant toujours prévu des lots allant de 100 000 à 250 000 dollars pour ceux qui parviendront à contourner l’écran de verrouillage du smartphone ou encore attaquer le noyau de son système d’exploitation. La chasse est ouverte !

Sources : Google Security Blog, Google Application Security, The Verge

Jessica Rat
https://twitter.com/rat_jessica Jessica Rat Rédacteur