Concours de hacking : le Pwnium n'est plus ce qu'il était

Twitter iPhone pliant OnePlus 11 PS5 Disney+ Orange Livebox Windows 11

Actualités Concours de hacking : le Pwnium n'est plus ce qu'il était

Publié le 28 février 2015 à 12:10 par Jérôme G.

Lire sur mobile

Le Pwnium ne se décline plus sous la forme d'un concours de hacking annuel. Google l'étend à l'année en l'imbriquant dans le Chrome Vulnerability Program. Il perd de sa saveur.

Jusqu'à présent, le concours de hacking Pwnium se déroulait dans le cadre d'un événement annuel en marge de la conférence CanSecWest sur la sécurité informatique à Vancouver. Un rendez-vous du mois de mars avec également le concours Pwn2Own.

Chromium-logo Évoqué à plusieurs reprises dans nos colonnes, le Pwnium était très généreusement doté par Google afin de récompenser les hackers - ou chercheurs en sécurité informatique - relevant le défi avec succès.

Les participants devaient soumettre des exploits originaux (évalués par des juges) afin de véritablement compromettre la sécurité inhérente à Chrome OS, ce qui comprend Chrome associé avec Flash, le noyau de Chrome OS et le firmware, les applications par défaut sur Chrome OS.

Mais il ne sera plus possible pour un hacker de jouer la star d'un jour et briller lors d'un tel concours événementiel. Le Pwnium change de forme pour s'étendre à l'année. De manière plus explicite, le Pwnium est tout simplement intégré au programme Chrome Vulnerability Program.

Pour le Chrome Vulnerability Program et la soumission de bugs dans des produits Chrome, les récompenses vont de 500 à 50 000 $. Et il n'y a pas de limite pour le total des sommes pouvant être reversées.

Un bug de type Pwnium (essentiellement un enchaînement de plusieurs exploits) sera moins rétribué que par le passé. Il pouvait atteindre jusqu'à 150 000 $. Une somme plus élevée qui était justifiée par les contraintes imposées dans le cadre du concours (une présence physique du participant, le risque de failles comblées avant la démonstration préparée de longue date…).

Google a aussi modifié la donne et sacrifié l'exposition médiatique dans un souci d'efficacité :

" Si un chercheur en sécurité découvrait un bug Pwnium aujourd'hui, il est probable qu'il attendrait jusqu'au concours pour le signaler et obtenir la récompense. C'est un mauvais scénario pour toutes les parties. C'est mauvais pour nous parce que le bug n'est pas corrigé immédiatement et nos utilisateurs sont exposés à un risque. C'est mauvais pour lui avec le réel risque d'une collision de bug (ndlr : une découverte par quelqu'un d'autre entre-temps). "

Pour leur ego et une reconnaissance publique, les hackers devront donc désormais se contenter d'une mention dans le temple de la renommée.

Source : Google