Mozilla et Google ont revu à la hausse les récompenses financières attribuées à leur programme de bug bounty. Du moins à leur échelle. Si le premier offre désormais 15 000 dollars pour une exécution de code à distance, le second promet la bagatelle d’un million de dollars au hacker parvenant à pirater sa puce de sécurité Titan M.

Nouvel eldorado financier des hackers, les programmes de bug bounty mis en place par les entreprises peuvent changer une vie. En témoignent les offres de rachat de Zerodium, une plateforme qui acquiert des vulnérabilités à des particuliers pour les revendre à des agences gouvernementales, fixées à deux millions de dollars pour une faille zero day. À ce petit jeu-là, Google semble lui aussi pouvoir s’aligner sur le plan financier.

Un billet publié sur son blog le 21 novembre 2019 apporte une mise à jour majeure à son programme de récompenses « Android Security Rewards ». Autrefois plafonnés à 200 000 dollars, les prix attribués ont littéralement explosé : la firme de Mountain View offre désormais un million de dollars au hacker parvenant à pirater sa puce de sécurité Titan M installée au sein de ses appareils mobiles Pixel 3 et 4 pour les prévenir de différentes attaques.

Google régale

Pour ce faire, un « exploit de chaîne complet avec persistance d’exécution de code à distance » doit lui être fourni. Mieux, un bonus spécifique de 50 % — 500 000 dollars, donc — est versé en cas d’exploit déniché sur des versions bêta d’Android réservées aux développeurs. Un double pactole constituant ainsi un total d’1,5 million de dollars pour accomplir cette tâche particulièrement difficile.

Google se montre très généreux en cas de faille informatique dénichée au sein de sa puce Titan M. // Crédit photo : Paweł Czerwiński via Unsplash.

Depuis le lancement d’« Android Security Rewards » en 2015, plus de 1800 rapports ont été envoyés au colosse aux quatre couleurs, lequel a reversé plus de quatre millions de dollars à divers chercheurs de failles de sécurité. Au cours des douze derniers mois, 1,5 million de dollars ont été réglés par le géant américain, dont 161 337 dollars à une seule et unique personne, auteur du plus gros gain du cru 2019.

Mozilla,15 000 dollars

À son échelle et dans une moindre mesure, Mozilla fait lui aussi grimper les enchères. L’entreprise double les paiements liés à ses sites critiques et services, et triple les gratifications dédiées aux exécutions de code à distance sur des sites critiques à 15 000 dollars. Des sommes certes moins impressionnantes que Google, mais tout de même intéressantes pour tout hacker cherchant à faire gonfler ses comptes bancaires.

Une flopée de nouveaux sites critiques ont également intégré son programme de bug bounty au cours des six derniers mois. À l’image d’Autograph, un service d’authentification cryptographique destiné aux produits Mozilla, Lando, un nouveau service automatique de code, Phabricator, un outil de gestion de code pour Firefox, ou encore Taskcluster, un cadre d’exécution des tâches prenant en charge les processus d’intégration et publication de Mozilla.

Partager sur les réseaux sociaux