Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

CERT-XMCO : Google augmente le montant des récompenses attribuées aux chercheurs

avril 2012 par CERT-XMCO

- Date : 24 Avril 2012

- Criticité : Moyenne

- Description : Il y a quelques semaines, le programme récompensant les chercheurs rapportant au géant de la recherche des failles de sécurité au sein de ses services fêtait son premier anniversaire. À cette occasion, Google vient d’annoncer avoir modifié les règles afin, entre autres, d’augmenter considérablement le montant des primes.

Google a en effet annoncé qu’il récompensait désormais d’une prime de 20 000 dollars les failles pouvant être exploitées afin de prendre le contrôle d’un système appartenant à Google à distance, de 10 000 dollars les vulnérabilités pouvant être exploitées afin d’accéder à des informations sensibles (injection de code SQL, fuite d’information, ou encore contournement de restrictions de sécurité tel que le mécanisme d’authentification ou encore de contrôle d’accès). Enfin, les failles de types "Cross-Site Scripting" (XSS, XSRF, ...) impactant les applications sensibles seront désormais récompensées par une prime de 3 133,7 dollars.

Cette nouvelle intervient alors que Google a déjà distribué près de 460 000 dollars à pas moins de 200 chercheurs ayant rapporté plus de 780 failles de sécurité plus ou moins critiques au sein des nombreux services web.

Même si ce type de programme ne peut rivaliser (et ne cherche pas à rivaliser) avec le marché noir ou gris de la vente de failles de sécurité ou de code d’exploitation, il permet au minimum d’accroitre le niveau de sécurité en détectant et en corrigeant les principales failles de sécurité. En favorisant la divulgation de faille par les chercheurs au travers d’un canal de communication de type "White Hat", les failles de sécurité deviennent d’autant plus difficiles à trouver pour les "Black Hat", et à vendre dans le milieu "underground".

- Référence :

http://googleonlinesecurity.blogspo...

http://googleonlinesecurity.blogspo...

- Lien extranet XMCO : https://cert.xmco.fr/veille/client/...




Voir les articles précédents

    

Voir les articles suivants