Google fait monter les enchères et paiera jusqu'à 1,5 million si vous piratez les Pixel

23 novembre 2019 à 16h17
0
pixel4_une.jpg

Google semble soucieux de garantir la sécurité de sa gamme Pixel. Six semaines après que ses appareils ont été concernés par une faille zero day, le géant américain a lancé une nouvelle campagne de récompense.

L'enseigne affirme être prête à payer jusqu'à 1,5 million de dollars pour chaque nouvelle faille repérée sur la Titan M, la puce de sécurité équipant ses Pixel.

Récompense hors normes

Ce bug bounty, qui a démarré le 21 novembre, a été annoncé sur le blog de Google. Il comprend deux volets. D'une part, Google accepte de payer jusqu'à un million de dollars pour « l'exécution complète, à distance et avec persistance d'un code pouvant compromettre l'élément de sécurité Titan M sur les appareils Pixel ». D'autre part, il accepte également de verser 500 000 dollars pour la démonstration d'un code capable d'extraire des données d'un appareil Pixel ou d'outrepasser son écran de verrouillage.

Les failles répondant à toutes ces conditions rapporteront donc jusqu'à 1,5 million de dollars. Google est prêt à majorer la récompense de 50 % si la faille révélée permet également de contourner les sécurités de la Titan M sur l'une des anciennes versions Developer Preview d'Android.

Ce sont des sommes importantes pour Google, qui rappelle qu'en 2019, la récompense la plus importante versée dans le cadre d'un bug bounty s'est élevée à 161 337 dollars. Depuis que le programme de récompenses de sécurité Android a été lancé il y a quatre ans, Google a versé plus de 4 millions de dollars pour la détection de plus de 1 800 failles.

La Titan M à l'épreuve

Tout repose sur la Titan M, une puce que Google a présentée il y a un an, avec la sortie du Pixel 3. Pour Ars Technica, elle est semblable à la Secure Enclave d'Apple dans la mesure où elle est physiquement isolée du processeur principal de l'appareil.

La Titan M a quatre fonctions principales. Elle doit stocker la dernière version stable d'Android afin que l'appareil ne puisse pas lancer une version modifiée au démarrage. Elle doit également contrôler la saisie du mot de passe et le déverrouillage de l'écran, limitant le nombre de tentatives de connexion. Elle stocke des clés privées utilisées par les applications sensibles, notamment celles servant à payer. Enfin, la Titan M doit empêcher les changements du firmware Android, à moins que le mot de passe de l'appareil n'ait été entré.

Source : Ars Technica

Le Black Friday c'est parti ! Retrouvez les meilleurs bons plans et promos avec Clubic.

Les bons plans Black Friday

Modifié le 25/11/2019 à 07h57
1
2
Partager l'article :
Voir tous les messages sur le forum

Les actualités récentes les plus commentées

L'union sacrée des télécoms européens, qui vont partager leurs données pour lutter contre le coronavirus
Coronavirus : le traçage numérique
Coup dur chez HPE : des SSD destinés aux entreprises pourraient se briquer après 40 000 heures
L'empreinte carbone issue de la consommation des Français a chuté de deux-tiers avec le confinement
Xiaomi lancera la très attendue Mi TV 4S 65
Le stockage d’énergie sous forme d’hydrogène fait un bond en avant
Folding@home dépasse l'ExaFLOP pour lutter contre le Coronavirus
Des Macbook propulsés par des processeurs ARM prévus pour l'an prochain
ESET commercialise un antivirus dédié aux terminaux Linux
Covid-19 : Dyson (aussi) va produire des respirateurs durant la crise
scroll top