[ad_1]

Google a déclaré lundi qu’il étendait un programme pour payer les chercheurs en sécurité qui signalent discrètement les failles logicielles des produits de l’entreprise. Cette décision semble viser à susciter la bonne volonté au sein de la communauté des hackers tout en encourageant davantage de chercheurs à garder leurs découvertes privées jusqu’à ce que les failles puissent être corrigées.

Plus tôt cette année, Google a lancé un programme pour récompenser les chercheurs qui signalent directement toute faille de sécurité découverte dans le Chrome projet de navigateur open-source. Avec son annonce d’aujourd’hui, Google élargit le programme pour inclure les bogues signalés pour ses propriétés Web, y compris Gmail, Youtube, Blogueur et d’autres (la société affirme que ses applications de bureau – Android, Picasa et Bureau Googleetc. ne sont pas inclus dans le programme de primes étendu).

Il est peu probable que le programme attire ceux qui cherchent à s’enrichir en vendant des vulnérabilités de sécurité, car il existe plusieurs endroits moins réputés en ligne où des bogues critiques dans des applications en ligne importantes peuvent atteindre des prix beaucoup plus élevés. Mais la prime élargie pourrait bien gagner les chercheurs qui pourraient autrement publier leurs recherches en ligne, alertant efficacement Google du problème en même temps que la communauté des cybercriminels.

« Nous aimons déjà travailler avec un éventail de chercheurs pour améliorer la sécurité de Google, et certaines personnes qui ont fourni des rapports de haut calibre sont répertoriées sur notre page de crédits« , l’équipe de sécurité de Google a écrit sur le blog de sécurité de l’entreprise. « En plus de nous permettre de remercier les contributeurs réguliers d’une nouvelle manière, nous espérons que notre nouveau programme attirera de nouveaux chercheurs et les types de rapports qui contribuent à rendre nos utilisateurs plus sûrs. »

La récompense standard pour les bogues continuera d’être la reconnaissance publique et 500 $, bien que le géant de la recherche ait déclaré que les bogues particulièrement graves ou intelligents pourraient gagner des récompenses allant jusqu’à 3 133,7 $ (c’est laisse parler pour « élite »).

Google a déclaré qu’il ne paierait pas pour les bogues qui impliquent des attaques ouvertement malveillantes, telles que l’ingénierie sociale et les attaques physiques ou les techniques dites « d’optimisation des moteurs de recherche chapeau noir » – et qu’il ne compterait pas les défauts moins graves tels que le déni de -des bogues de service, ou des failles dans les technologies récemment acquises par Google.

D’autres entreprises ont mis en place des programmes de primes de bugs. Par exemple, MozillaCommentl’organisation derrière le navigateur Web Firefox, a payé pendant des années 500 $ aux chercheurs pour les bogues, mais récemment augmenté le montant à 3 000 $.

Charlie Millerun chercheur en sécurité qui a signalé un grand nombre de bogues dans une variété d’applications et de programmes, a été initialement critique d’une si petite prime de l’une des entreprises les plus riches et les plus puissantes du monde. Mais joint par e-mail lundi soir, Miller a déclaré que s’il aimerait toujours voir plus d’argent versé aux chercheurs de bogues, les entreprises relativement peu nombreuses qui offrent des primes de bogues méritent également d’être reconnues.

« Avec tant d’entreprises (MS, Adobe, Apple, Oracle) qui ne paient rien, je suis très heureux de voir de l’argent sortir pour ces types de programmes », a écrit Miller. « Cela motive et récompense les chercheurs. La sécurité des produits (ou des sites Web) que la personne moyenne utilise augmente. En outre, il offre aux fournisseurs un niveau de contrôle qui leur manque autrement. Si un chercheur signale un bogue et décide ensuite qu’il pense que le processus ne fonctionne pas bien, il réfléchira à deux fois avant de l’abandonner en cas de divulgation complète s’il sait qu’il perdra sa commission d’intermédiaire.

.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *