Chasse aux bugs : Google généralise son programme de récompense

Google souhaite renforcer la sécurité au sein de son navigateur et annonce avoir mis à jour son programme visant à récompenser les hackeurs décelant des vulnérabilités.

Chaque année, à l'occasion du salon CanSecWest, Google organise le concours Pwnium. Ce dernier rassemble des hackeurs du monde entier afin qu'ils présentent leurs exploits, c'est-à-dire leurs attaques orchestrées contre le navigateur Chrome. Lorsque l'une d'entre elles est jugée valide par Google, la société reverse alors une certaine somme d'argent en guise de récompense et déploie généralement un patch dans la foulée.

L'année dernière, la firme californienne avait ainsi annoncé une enveloppe globale de 2,7 millions de dollars contre 3,14 millions de dollars en 2013. Plutôt que de fixer une nouvelle somme mise en jeu, Google informe que les chercheurs en sécurité auront l'occasion de partager leurs travaux non plus un seul jour par an, mais tout au long de l'année.



Tout d'abord, la société explique avoir voulu permettre au plus grand nombre de partager leurs exploits sans devoir s'enregistrer à la conférence ou se déplacer. Leurs travaux pourront être soumis plus simplement à Google.

Par ailleurs, avec le modèle Pwnium, les hackeurs ont tendance à découvrir un bug plusieurs mois avant le concours, mais préfèrent attendre, sans en toucher un mot, pour pouvoir bénéficier de la récompense de Google : le problème, n'ayant pas été déclaré, n'est pas corrigé et devient potentiellement exploitable par un hackeur malveillant.

Enfin, autre défaut : deux chercheurs peuvent identifier la même faille à plusieurs mois d'intervalle, et la présenter simultanément lors de Pwnium. Cela crée donc un conflit qui se traduit par le partage de la récompense. Des dérives qui ne se produiront plus avec le nouveau système.

Puisque ce programme est ouvert tout au long de l'année, Google est prêt à reverser autant d'argent que nécessaire en fonction de sa grille.