En début d'année, Google lançait son programme Chromium Security Reward. Pour tout bug de sécurité jugé digne de ce nom découvert dans Google Chrome ou son socle open source Chromium par un chercheur en sécurité tiers, Google récompense la remontée du bug en bonne et due forme avec des billets verts.
Six mois après le lancement de ce programme, Google parle d'un " succès " avec l'appât du gain ou du moins cette forme de reconnaissance qui a véritablement motivé les troupes. Un temple de la renommée dresse la liste des découvreurs qui ont ainsi été récompensés pour la mise au jour de vulnérabilités. Pour les membres de cette liste, les sommes distribuées vont de 500 à 1 337 dollars.
Étonnamment précise, la récompense maximale fixée à 1 337 $ est un clin d'œil au langage Leet speak, le langage des élites utilisé par certains geeks proches des nouvelles technologies et plus communément appelé Leet, ce qu'il faut lire à travers les chiffres 1337. Ce clin d'œil au Leet a été conservé par Google dans la révision de son programme Chromium Security Reward. Dorénavant, la récompense maximale pour la découverte d'une faille pourra atteindre 3 133,7 $.
Via cette révision, Google dit fêter l'anniversaire des six premiers mois d'existence du programme et par ailleurs mieux récompenser les bugs de sécurité qui mettront au jour une faille critique dans Chromium ou Chrome alors que le mécanisme de sandbox, dont on parle beaucoup en ce moment, rend cette tâche plus ardue.
On constate surtout que cette inflation dans les primes répond à Mozilla qui a sextuplé le montant de ses récompenses dans son propre programme, antérieur à celui de Google ( lancé en 2004 pour Mozilla ) et qui a inspiré ce dernier.
Avec son initiative Zero Day, la société TippingPoint propose également de rétribuer les découvreurs de failles de sécurité. Les sommes engagées peuvent atteindre 10 000 $ mais il faut être assez prolifique dans l'année. TippingPoint est connu pour organiser le concours Pwn2Own lors de la conférence CanSecWest. iDefense Labs ( VeriSign ) propose un programme similaire pour des sommes qui vont de quelques centaines à milliers de dollars en fonction de la nature de la vulnérabilité et de la contribution. Les clients des services offerts par ces sociétés bénéficient avant les autres de mesures de protection.
Publié le
par Jérôme G.
Journaliste GNT spécialisé en nouvelles technologies
Sur le même sujet
Cette page peut contenir des liens affiliés. Si vous achetez un produit depuis ces liens, le site marchand nous reversera une commission sans que cela n'impacte en rien le montant de votre achat. En savoir plus.