Lucas
Google renouvelle son programme ‘Mobile VRP’ pour que tout chercheur en sécurité informatique puisse gagner de l’argent en signalant des failles de sécurité dans toutes ses applications mobiles.
Il est de plus en plus dangereux d’utiliser des services en ligne, et pourtant, de plus en plus de nos vies sont gérées sur Internet. Il est donc logique que les hackers éthiques soient nés comme l’ennemi juré des groupes de hackers et des mafias et nous aident en découvrant des vulnérabilités dans pratiquement tous les systèmes et applications que nous utilisons quotidiennement.
Dans le cas de Google, force est de constater que ses programmes de chasse aux bugs fonctionnent, et ce malgré le fait que le géant de Mountain View coûte très cher pour les maintenir (certaines des vulnérabilités signalées ont même été payées jusqu’à 70 000 $), car seuls en 2022 pas moins de 696 problèmes de sécurité ont été résolus grâce à des hackers éthiques travaillant autour de l’écosystème Google-Android.
En 2023, la course ne s’arrêtera pas, et c’est en suivant la piste de Bleeping Computer, que l’on sait déjà que le Mobile Vulnerability Rewards Program (‘Mobile VRP’) prolongera sa validité en versant de succulentes sommes d’argent à des chercheurs et experts en sécurité de tout le monde pour détecter et signaler les vulnérabilités et les bugs dans toutes les applications Android de la société californienne.
C’est ce qu’ont annoncé les réseaux sociaux du programme ‘Mobile VRP’ de Google :
Nous sommes ravis d’annoncer le nouveau « Mobile VRP » ! Nous recherchons des chasseurs de bugs pour nous aider à trouver et à corriger les vulnérabilités de nos applications mobiles.
Nous sommes ravis d’annoncer le nouveau Mobile VRP! Nous recherchons des chasseurs de bugs pour nous aider à trouver et à corriger les vulnérabilités de nos applications mobiles. https://t.co/HDs1hnGpbH
— Google VRP (Google Bug Hunters) (@GoogleVRP) 22 mai 2023
La liste des applications qui entrent dans le programme et permettront aux pirates éthiques d’obtenir des revenus est énorme, puisqu’il n’y a pas que celles qui apparaissent dans le Play Store telles que développées par Google LLC, mais aussi toutes les autres fabriquées dans son écosystème ou par ses filiales. : Développé avec Google, Research at Google, Red Hot Labs, Google Samples, Fitbit LLC, Nest Labs Inc., Waymo LLC et Waze.
Bien sûr, tout ne vaudra pas la même chose, mais il y aura plusieurs niveaux selon lesquels différentes sommes d’argent seront distribuées, les packages qui suivent étant ceux du premier niveau :
- Services Google Play (com.google.android.gms)
- AGSA (com.google.android.googlequicksearchbox)
- Google Chrome (com.android.chrome)
- Google Cloud (com.google.android.apps.cloudconsole)
- Gmail (com.google.android.gm)
- Bureau à distance Chrome (com.google.chromeremotedesktop)
De plus, il y aura également différents types de failles éligibles, telles que celles qui permettent l’exécution de code arbitraire et les faiblesses qui peuvent être enchaînées avec d’autres failles pour générer des impacts similaires, le vol de données sensibles, les autorisations orphelines, les carrefours menant à l’écriture de fichiers, les redirections de tentatives qui peuvent être exploitées pour démarrer des composants ou des applications et toutes sortes d’erreurs causées par une utilisation non sécurisée ou des tentatives en attente.
Les récompenses iront de 750 $ à 30 000 $ selon le type d’erreur détectée et l’application impliquée, afin de « reconnaître les contributions et le travail de tous les chercheurs qui aident Google à améliorer la sécurité de ses applications ».
Celles-ci seraient les récompenses du programme ‘Mobile VRP’ selon la catégorie de la vulnérabilité signalée.
Depuis le début des programmes ‘Mobile VRP’ de Google en 2010, le géant de Mountain View a distribué plus de 50 millions de dollars à des milliers de ‘bughunters’ qui ont signalé plus de 15 000 vulnérabilités au cours de ces 13 années.
Les choses ont augmenté, car ce n’est qu’en 2022 que quelque 12 millions de dollars sur ces 50 millions accumulés en 13 ans ont été livrés, y compris le record dans une seule vulnérabilité qui impliquait une chaîne d’exploitation Android de plusieurs erreurs de sécurité enchaînées, en raison de la que l’enquêteur a été payé pas moins que le montant non négligeable de 605 000 $.
Si vous avez des notions et que vous aimez le « hacking éthique », voici une raison de plus pour continuer à vous former et à rechercher !
Détente, découvrez l’évolution du nombre de smartphones vendus par marque au fil du temps dans la vidéo ci-dessous :