
Google change ses méthodes de chasse aux failles de sécurité sur ses programmes fonctionnant avec le navigateur web Chrome. Depuis quatre ans, le géant du net organise chaque année le concours Pwnium : il invite des petits génies de l'informatique pendant une journée dans le cadre de la conférence annuelle spécialisée dans la cybersécurité CanSecWest à Vancouver. S'ils permettent à l'entreprise de découvrir des bugs dans son système, ils gagnent de l'argent. Google avait mis 2,7 millions de dollars sur la table en 2014 et 3,14 millions en 2013, que se sont partagés les gagnants de la compétition. Le montant offert à ces "hackers bienveillants" dépend de l'importance de la faille découverte.
Google renonce aux retombées médiatiques du concours
Mais cette année, Pwnium change d'échelle : intégré à un programme de lutte contre les bugs informatiques plus large de l'entreprise (le Chrome Vulnerability Reward Program) il devient pérenne et sera étalé sur l'année entière. Les informaticiens peuvent désormais signaler une faille sur Chrome n'importe quand contre de l'argent. Le budget débloqué par Google pour récompenser les hackers obligeants est illimité cette année, affirme sur le blog de l'entreprise Tim Willis, qui travaille dans l'équipe chargée de sécuriser Chrome.
Le groupe renonce aux importantes retombées médiatiques que lui assurait le concours Pwnium pour être plus efficace dans sa chasse aux vulnérabilités informatiques : avec ce nouveau système, les informaticiens ne sont pas tentés de garder pour eux un bug découvert depuis plusieurs mois jusqu'à la compétition pour toucher la récompense : "C’est mauvais pour nous car nous ne corrigeons pas la faille directement et nous laissons nos utilisateurs exposés à cette vulnérabilité. Et c’est également mauvais pour les participants du concours, puisque cela augmente le risque de voir plusieurs participants exploiter la même faille", pointe Google sur son blog.
Lélia de Matharel
Réagir