Google profite du Black Hat Mobile Security Summit de Londres pour faire briller les yeux des hackers et autres chercheurs en sécurité informatique. Ceux qui dénichent et rapportent des vulnérabilités critiques dans le système d'exploitation Android pourront prétendre à quelques billets verts. Et pour motiver les troupes, Google ne regarde pas à la dépense.
Le Graal sera la somme de 38 000 dollars pour des hackers émérites qui seront à même de reproduire une attaque exploitant une vulnérabilité jusqu'à présent inconnue et leur permettant d'avoir un accès de bas niveau à partir de la couche kernel. Mais il faudra aussi fournir le patch idoine.
Pour débuter, et même s'il s'agit de vulnérabilités Android, elles devront avoir été trouvées sur le smartphone Nexus 6 ou la tablette Nexus 9. Et plus précisément, les terminaux qui sont actuellement en vente dans le Google Store US. Ultérieurement, la gamme d'appareils concernés sera élargie.
La restriction au Nexus 6 et à la Nexus 9 paraît en tout cas assez logique dans la mesure où Google a la maîtrise de ces terminaux qui sont équipés d'Android sans surcouche logicielle de fabricants.
Mis à part le gros lot, Google a prévu des récompenses de 500 $ pour une vulnérabilité modérée, 1 000 $ pour une dangerosité élevée et 2 000 $ pour un bug critique. La somme reversée augmente de 50 % avec le détail des conditions d'exploitation et double si un patch (ou un test de détection) est proposé. Pour les deux à la fois, la somme pourra être quadruplée.
En dépit de ce nouveau programme Android Security Rewards, Google précise que le Patch Rewards Program se poursuit avec toujours les fondations open source d'Android qui sont concernées. Google aura en tout cas fait son possible pour commuter le marché noir des vulnérabilités.
La semaine dernière, Mozilla a revu à la hausse ses primes pour le Firefox Bug Bounty.
