Depuis 2010, Google a mis en place un programme de récompenses pour les chercheurs en sécurité qui trouvent des failles dans Chrome. Ce jeudi (18), les sommes versées aux chasseurs de bestioles sont multipliées par deux ou trois : elles peuvent atteindre 30 000 dollars pour les vulnérabilités dans Chrome et 150 000 dollars dans Chrome OS.
Selon Google, plus de 8 500 bogues de sécurité ont été découverts grâce au programme de récompenses pour la vulnérabilité des chromes, qui a déjà rapporté plus de 5 millions de dollars aux chercheurs. La valeur de la récompense est définie en fonction du type de vulnérabilité et de la qualité du rapport fourni ? pour gagner le premier prix, il est nécessaire de fournir un exploit fonctionnel à Google.
Le type d’échec le plus gratifiant est la panne du bac à sable Chrome ? lorsque le code malveillant est exécuté en dehors de l’environnement isolé du navigateur. Dans ce cas, la valeur maximale d’un rapport de vulnérabilité de base est passée de 5 000 à 15 000 dollars. Pour ceux qui fournissent des documents détaillés, la récompense maximale a doublé, passant de 15 000 à 30 000 dollars.
Dans Chrome OS, l’intérêt principal de Google est de trouver un bug qui affecte un Chromebook ou un Chromebox en mode invité et qui persiste même après un redémarrage. Google a offert une récompense de 50 000 dollars, mais personne n’a trouvé de faille de ce type jusqu’à présent. La valeur est donc passée à 100 000 dollars en 2016 et se situe maintenant à 150 000 dollars.
L’entreprise a profité de l’occasion pour améliorer les montants payés pour les échecs de Google Play : les failles qui permettent l’exécution de codes à distance peuvent rapporter jusqu’à 20 000 dollars ; le vol de données privées s’élève à 3 000 dollars ; et l’accès à des composants d’application protégés est également récompensé jusqu’à 3 000 dollars. Toutes les applications Google Android participent au programme.
Vous trouverez de plus amples informations sur le site web du programme de récompense pour la vulnérabilité au chrome.
