- Date : 28 Février 2012

- Criticité : Moyenne

- Description :
Google parraine depuis plusieurs années la conférence CanSecWest et son concours Pwn2Own. Mais cette année, pour la première fois, le géant de la recherche annonce ne plus souhaiter récompenser les chercheurs pour avoir découvert des failles de sécurité au sein de son navigateur. L’origine de cette décision provient du contrat passé entre les organisateurs du concours, et les participants. Contrairement aux précédentes éditions, ces derniers ne sont plus obligés de révéler aux éditeurs les failles de sécurité exploitées, ni de leur fournir le code d’exploitation utilisé.

Résultat, Google, pour qui ce concours est un moyen d’éprouver et d’améliorer la sécurité de son navigateur, ne trouve plus aucun intérêt à récompenser les chercheurs si ceux-ci refusent de l’aider en retour.

Pour compenser ce désistement, Google a cependant lancé un nouveau concours baptisé Pwnium. Celui-ci se veut plus équitable pour l’ensemble des intervenants. En effet, les chercheurs se devront de fournir à Google les codes d’exploitation utilisés pour exploiter les différentes failles identifiées. De plus, si les failles en question ne concernent pas directement Chrome, Google s’engage à transmettre les informations en question aux éditeurs concernés. Enfin, contrairement à Pwn2Own, ce concours récompensera largement les chercheurs, puisque le montant maximum des récompenses s’élève à 1 million d’euros, contre les 105 000 dollars offerts par ZDI et HP.

Pour Google, les règles sont simples. Dans la limite du million de dollars, chacun des participants capables d’exploiter des failles ne concernant que Google Chrome se verra récompensé d’un prix de 60 000 dollars, pour une seule faille au sein de Chrome, et d’autres failles au sein de l’OS par exemple, le participant sera récompensé d’un prix de 40 000 dollars. Enfin, pour les participants découvrant des failles de sécurité exploitables au travers de Chrome, mais relatifs à d’autres logiciels (Flash, Windows, ...), Google accordera une récompense de 20 000 dollars. L’ensemble des bogues devra être démontré sur la dernière version de Chrome exécuté sur un système Windows 7 à jour en matière de correctif de sécurité.

Au final, contrairement au concours Pwn2Own, plusieurs chercheurs peuvent espérer gagner le premier prix.

- Référence :
http://blog.chromium.org/2012/02/pwnium-rewards-for-exploits.html

http://pwn2own.zerodayinitiative.com/rules.html

- Lien extranet XMCO :
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0303