Lors de la prochaine édition du concours Pwn2Own, le géant de Mountain View va mobiliser un million de dollars pour récompenser les hackers qui trouveraient des failles de sécurité capables de mettre en péril son navigateur.

Mise à jour – À quelques heures de la compétition Pwn2Own, Google a publié une nouvelle version stable (17.0.963.65) de son navigateur maison.

Au passage, le groupe américain en profite pour continuer son programme de rémunération des internautes repérant des vulnérabilités.

Au total, vingt failles ont été colmatées et des primes de 500 à 10 000 dollars ont été versées aux différents découvreurs, pour un total de 47 500 dollars.

Sujet du 28 février – Un million de dollars. C’est la somme totale qu’engagera Google ces prochains jours pour éprouver la sécurité et la fiabilité de Chrome, son navigateur web. La firme américaine va en effet participer, comme chaque année depuis 2009, à la compétition Pwn2Own, dont le déroulement aura lieu lors de la conférence CanSecWest qui durera du 7 au 9 mars à Vancouver. Et pour attirer les hackers, Google est déterminé à sortir le porte-monnaie.

Afin de distinguer la gravité des failles de sécurité qui seraient repérées au cours du Pwn2Own 2012, Google a déterminé trois niveaux de récompense. Un participant qui parviendrait à dénicher une ou plusieurs vulnérabilités dans le navigateur web se verrait attribuer un prix de 60 000 dollars. C’est la récompense la plus importante, puisqu’elle concerne le c?ur même du logiciel.

Le deuxième niveau de récompense est composé d’un prix de 40 000 dollars baptisé « Partial Chrome exploit ». Il vise à repérer des failles exploitant au moins un bug présent dans Chrome plus une ou plusieurs vulnérabilités présentes dans d’autres programmes. Sur son site web, Google donne l’exemple d’une faille WebKit combinée avec un souci dans la sandbox.

Le dernier palier est une sorte de « prix de consolation » mais gratifié néanmoins d’une récompense de 20 000 dollars. Ici, Google souhaite déceler les bugs qui ne sont pas contenus dans son navigateur web mais qui peuvent, d’une façon ou d’une autre, poser des difficultés aux utilisateurs ou engendrer un risque pour la stabilité ou les performances du navigateur.

Les failles en question peuvent être révélées dans un pilote informatique, dans le lecteur Flash ou même dans Windows lui-même. Rappelons à ce sujet que le test Pwn2Own se déroulera sur des machines équipées de Windows 7 pour des raisons pratiques. Il s’agit en effet du système d’exploitation le plus récent de Microsoft et l’un des plus utilisés dans le monde.

Pour récompenser les hackers qui repéreront d’éventuelles failles, Google se basera sur le principe du premier arrivé, premier servi. Du côté des prix, ces derniers seront distribués jusqu’au moment où le palier du million de dollars sera atteint. Reste désormais à savoir si des vulnérabilités seront découvertes, Chrome ayant démontré par le passé sa grande résistance face aux assauts des hackers.

Avec le formidable développement d’Internet survenu ces dernières années, l’importance du rôle du navigateur web s’est considérablement accrue. Il est aussi devenu essentiel, depuis que la compétition entre éditeurs a repris grâce à la percée de la fondation Mozilla au début des années 2000, de fournir un logiciel fiable, sécurisé, performant, ouvert, respectueux des standards et évolutif.

Très vite, les compétitions comme Pwn2Own sont devenues très instructives pour les principales organisations éditant des navigateurs web. En effet, la sécurisation d’un programme ne pouvant pas toujours être assurée totalement grâce à la seule compétence de l’entité qui l’a conçu, il faut parfois passer par une aide extérieure, la plupart du temps des chercheurs en sécurité indépendants ou des hackers de génie, est souvent bienvenue.

Pour attirer les talents et les inciter à concourir pour hacker leurs produits, les entreprises sont obligées de sortir le porte-monnaie et promettre des récompenses alléchantes, à l’image de Google et de son million de dollars. Mais à plus long terme, c’est bien les éditeurs qui bénéficieront des retombées de ces investissements, en se taillant une réputation de fiabilité, pourvu que les failles repérées soient rapidement colmatées.

Partager sur les réseaux sociaux

Articles liés