Prime de 20 000 $ pour trouver une faille de sécurité chez Google - Actualités CSO Hacking

Prime de 20 000 $ pour trouver une faille de sécurité chez Google

le 24/04/2012, par Jacques Cheminat avec IDG News Service, Hacking, 288 mots

Google a fortement augmenté  les primes qu'il verse aux chasseurs de bugs sur ses sites web, se services et ses applications en ligne.  Le géant de l'Internet a ainsi fait passer sa récompense de 3 133 à 20 000 dollars et a ajouté un palier à 10 000 dollars. Le programme de récompense sur les failles (VRP pour Vulnerability Reward Program) pourra donc verser jusqu'à 20 000 dollars pour des vulnérabilités qui permettent l'exécution de code à distance contre google.com, youtube.com et d'autres domaines clés, considérés par la firme de Mountain View comme très sensibles tels que le moteur de recherche, Gmail, Google Play et Wallet. Les mêmes failles trouvées dans une application web de Google obtiendront la même gratification. 

La prime de 10 000 dollars sera versée pour les bugs par injection SQL ou d'un contournement "significatif" d'authentification ou d'une vulnérabilité impliquant une fuite de données, a déclaré Google dans la révision de son programme. D'autres bugs, y compris les failles  cross-site scripting (XSS) et cross-site Request Forgery (XSRF), seront primés entre 100 $ et 3 133 $. Le montant dépendra de la nature du bug.


Google a expliqué ces augmentations comme un moyen « pour célébrer le succès de ce programme et de souligner son engagement sur la sécurité. » A noter que le programme relatif à Chrome ne voit pas son enveloppe de primes évoluer en restant à 3 133 dollars pour la plus haute.

Depuis l'introduction de VRP, l'éditeur a annoncé aujourd'hui qu'il avait reçu plus de 780 rapports de bugs validés et payé en un peu plus d'un an autour de 460 000 dollars à environ 200 chercheurs. « Nous sommes convaincus que ce programme rend Google plus sûr pour les utilisateurs », précise dans un blog, Adam Mein, responsables des programmes de sécurité et Michal Zalewski, ingénieur au sein de la division sécurité de Google.

Microsoft coutumier des add-on non fonctionnelles et bogées

Vendredi dernier, la firme de Redmond a reconnu qu'elle avait dû réécrire 4 des 13 add-on de sécurité publiées lors du dernier Patch Tuesday. D'après le retour des utilisateurs, même une fois installées, les...

le 18/09/2013, par Gregg Keizer, adaptation Oscar Barthe, 463 mots

Google ne crypte pas efficacement les mots de passe Wi-Fi

Lorsqu'un utilisateur d'Android réalise une sauvegarde de son système, notamment en vue d'une réinitialisation de l'appareil, la firme de Mountain View accède immédiatement au clé de son réseau WiFi privé....

le 18/09/2013, par Oscar Barthe, 367 mots

2 millions de comptes clients de Vodafone Allemagne piratés

Un salarié travaillant pour un prestataire de Vodafone Allemagne est soupçonné d'être à l'origine du vol de données concernant deux millions de clients. Cette affaire n'est pas sans rappeler, par sa...

le 16/09/2013, par Serge LEBLAL, 364 mots

Dernier dossier

Les white-box sont-elles l'avenir de la commutation réseau ?

Et si vous pouviez gérer vos commutateurs de centres de données et vos routeurs de la même façon que vos serveurs et ainsi réduire les coûts des dépenses en capital ? C'est la promesse des white-box qui amènent des systèmes d'exploitation réseau open source fonctionnant sur du matériel courant.Pour en avoir le coeur net, nous avons testé Cumulus...

Dernier entretien

Joël Mollo

VP Europe du sud de SkyHigh

« Nous créons un nouveau marché autour de la sécurité du cloud »