1
Google semble soucieux de garantir la sécurité de sa gamme Pixel. Six semaines après que ses appareils ont été concernés par une faille zero day, le géant américain a lancé une nouvelle campagne de récompense.
L'enseigne affirme être prête à payer jusqu'à 1,5 million de dollars pour chaque nouvelle faille repérée sur la Titan M, la puce de sécurité équipant ses Pixel.
Récompense hors normes
Ce bug bounty, qui a démarré le 21 novembre, a été annoncé sur le blog de Google. Il comprend deux volets. D'une part, Google accepte de payer jusqu'à un million de dollars pour « l'exécution complète, à distance et avec persistance d'un code pouvant compromettre l'élément de sécurité Titan M sur les appareils Pixel ». D'autre part, il accepte également de verser 500 000 dollars pour la démonstration d'un code capable d'extraire des données d'un appareil Pixel ou d'outrepasser son écran de verrouillage.Les failles répondant à toutes ces conditions rapporteront donc jusqu'à 1,5 million de dollars. Google est prêt à majorer la récompense de 50 % si la faille révélée permet également de contourner les sécurités de la Titan M sur l'une des anciennes versions Developer Preview d'Android.
Ce sont des sommes importantes pour Google, qui rappelle qu'en 2019, la récompense la plus importante versée dans le cadre d'un bug bounty s'est élevée à 161 337 dollars. Depuis que le programme de récompenses de sécurité Android a été lancé il y a quatre ans, Google a versé plus de 4 millions de dollars pour la détection de plus de 1 800 failles.
La Titan M à l'épreuve
Tout repose sur la Titan M, une puce que Google a présentée il y a un an, avec la sortie du Pixel 3. Pour Ars Technica, elle est semblable à la Secure Enclave d'Apple dans la mesure où elle est physiquement isolée du processeur principal de l'appareil.La Titan M a quatre fonctions principales. Elle doit stocker la dernière version stable d'Android afin que l'appareil ne puisse pas lancer une version modifiée au démarrage. Elle doit également contrôler la saisie du mot de passe et le déverrouillage de l'écran, limitant le nombre de tentatives de connexion. Elle stocke des clés privées utilisées par les applications sensibles, notamment celles servant à payer. Enfin, la Titan M doit empêcher les changements du firmware Android, à moins que le mot de passe de l'appareil n'ait été entré.
Source : Ars Technica
Le Black Friday c'est parti ! Retrouvez les meilleurs bons plans et promos avec Clubic.
Les bons plans Black Friday
Je veux tout savoir, et même le reste. Je me passionne pour le digital painting, la 3D, la plongée, l'artisanat, les fêtes médiévales... Du coup, j'ai toujours des apprentissages sur le feu. Actuellement, j'apprends à sourire sur mes photos de profil.
Lire d'autres articles
