Google a reversé 2,9 millions de dollars à des hackers

Le par  |  4 commentaire(s)
Google-recompense-securite-2017

La chasse aux bugs de sécurité affectant des produits Google demeure rémunératrice. Elle est étendue pour les applications du Google Play Store.

Comme chaque année à cette période, Google fait un petit bilan chiffré de ses initiatives autour de ses programmes de récompense pour la découverte de vulnérabilités de sécurité. En 2017, la somme totale de 2,9 millions de dollars a été reversée à des hackers white hat.

Par rapport à 2016, c'est une somme comparable. Par contre, le nombre de chercheurs récompensés a chuté de 350 à 274. Des vulnérabilités trouvées dans des produits Google ont représenté pour plus de 1 million de dollars, soit quasiment autant que pour Android. C'est un petit peu moins pour Chrome.

La palme du problème de sécurité le plus rémunérateur revient à Guang Gong qui a reçu 112 500 $. Membre de l'équipe Alpha chez Qihoo 360, ce hacker chinois avait mis au jour une chaîne d'exploitation pouvant compromettre des appareils mobiles Pixel. Nous avions évoqué cette trouvaille dans nos colonnes avec plus de détails.

google-programme-recompense-vulnerabilite-2017
En 2017, les programmes de récompense de Google ont été réévalués (des récompenses plus importantes) et continuent de se développer. Un programme atypique Google Play Security Reward a notamment été lancé pour les applications Android hébergées dans le Google Play Store.

Au-delà des vulnérabilités de type exécution de code à distance, ce dernier est désormais étendu aux vulnérabilités pouvant entraîner du vol de données personnelles, le transfert d'informations de manière non chiffrée, l'accès à des composants applicatifs protégés.

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #1999689
Soit un peu plus de 10k$ par chercheur-trouveur (donc sans compter tout ceux qui ont cherché pour rien). Non seulement ils sous-payent, mais en plus ils font les gros titres de la presse IT, qui les félicitent pour leur "généreux" bug bounty........ Bravo pour cet esprit critique !
Le #1999701
MiloYiannopoulos a écrit :

Soit un peu plus de 10k$ par chercheur-trouveur (donc sans compter tout ceux qui ont cherché pour rien). Non seulement ils sous-payent, mais en plus ils font les gros titres de la presse IT, qui les félicitent pour leur "généreux" bug bounty........ Bravo pour cet esprit critique !


Techniquement ils sous payent pas, ils ont pas de contrat avec les hackers... Les tarifs sont connues pour les découvertes, donc si les mecs prennent la peine de chercher, c'est que cela leurs convient ,sinon ils le feraient pas.
Le #1999744
Je trouve cela beaucoup plus intelligent de rémunérer les hackers qui trouvent des failles de sécurité au lieu de les attaquer en procédure.
Le #1999749
Amiborg a écrit :

Je trouve cela beaucoup plus intelligent de rémunérer les hackers qui trouvent des failles de sécurité au lieu de les attaquer en procédure.


+1
Tout le monde y gagne à la fin.
Suivre les commentaires
Poster un commentaire
Anonyme