Depuis bientôt deux ans, Google anime un programme récompensant la découverte de vulnérabilités sur Chrome. Il consiste à rémunérer les contributeurs extérieurs lorsqu'ils repèrent une faille sur le navigateur web, avec un gain pouvant aller de 500 à 3133,7 dollars l'importance de la découverte. En marge de ce programme, Google participe également à des concours comme Pwn2Own.

Mais le navigateur maison de la firme de Mountain View n'est pas le seul projet du groupe à être concerné par un tel programme. Les espaces web appartenant à Google font aussi l'objet d'un dispositif visant à rémunérer la découverte de vulnérabilités par des contributeurs extérieurs. Celui-ci vient d'ailleurs d'être actualisé, puisque sa grille de récompense propose désormais des gains pouvant atteindre 20 000 dollars.

Pour décrocher cette récompense, il faudra désormais signaler les failles de sécurité suivantes : cross-site scripting (XSS), cross-site request forgery (CSRF) et cross-site script inclusion. Sont également concernées les faiblesses touchant les mécanismes d'authentification et d'autorisation ainsi que l'exécution de code à distance côté serveur et les bugs d'injection de commandes.

Google précise toutefois que le gain pourra limité à 10 000 dollars si les vulnérabilités précédemment citées ne sont pas découvertes dans Google Account, Google Search, Google Wallet, Google Mail, Google Code Hosting et Google Play. La firme américaine fait en effet la distinction entre ses différents espaces web et certains sont autrement plus sensibles que d'autres.

Lancé en novembre 2010, le programme de découverte de failles sur les espaces web de Google donne manifestement pleine satisfaction au géant américain. Plus de 780 signalements portant sur des failles de sécurité de première importances ont été transmis. En l'espace d'un an, Google a versé 460 000 dollars à près de 200 personnes qui ont participé à la sécurisation de ses services.



Lire la suite