Les récompenses destinées aux internautes participant à la sécurisation des sites web de Google s'améliorent. Le géant américain a mis à jour les gains servant à rémunérer ceux découvrant des vulnérabilités sur ses domaines. Désormais, les contributeurs extérieurs peuvent toucher jusqu'à 20 000 dollars.

Depuis bientôt deux ans, Google anime un programme récompensant la découverte de vulnérabilités sur Chrome. Il consiste à rémunérer les contributeurs extérieurs lorsqu’ils repèrent une faille sur le navigateur web, avec un gain pouvant aller de 500 à 3133,7 dollars l’importance de la découverte. En marge de ce programme, Google participe également à des concours comme Pwn2Own.

Mais le navigateur maison de la firme de Mountain View n’est pas le seul projet du groupe à être concerné par un tel programme. Les espaces web appartenant à Google font aussi l’objet d’un dispositif visant à rémunérer la découverte de vulnérabilités par des contributeurs extérieurs. Celui-ci vient d’ailleurs d’être actualisé, puisque sa grille de récompense propose désormais des gains pouvant atteindre 20 000 dollars.

Pour décrocher cette récompense, il faudra désormais signaler les failles de sécurité suivantes : cross-site scripting (XSS), cross-site request forgery (CSRF) et cross-site script inclusion. Sont également concernées les faiblesses touchant les mécanismes d’authentification et d’autorisation ainsi que l’exécution de code à distance côté serveur et les bugs d’injection de commandes.

Google précise toutefois que le gain pourra limité à 10 000 dollars si les vulnérabilités précédemment citées ne sont pas découvertes dans Google Account, Google Search, Google Wallet, Google Mail, Google Code Hosting et Google Play. La firme américaine fait en effet la distinction entre ses différents espaces web et certains sont autrement plus sensibles que d’autres.

« Si chaque faille de sécurité mérite bien sûr la plus grande attention, nous préférons récompenser plus généreusement la découverte d’une vulnérabilité XSS sur Google Wallet (un porte-feuille électronique, ndlr)que sur Google Art Project (un musée virtuel), où le risque potentiel pour les données des utilisateurs est nettement plus petit » explique ainsi Google. L’importance des gains montre ainsi les sites auxquels Google attache la plus grande importance.

Lancé en novembre 2010, le programme de découverte de failles sur les espaces web de Google donne manifestement pleine satisfaction au géant américain. Plus de 780 signalements portant sur des failles de sécurité de première importances ont été transmis. En l’espace d’un an, Google a versé 460 000 dollars à près de 200 personnes qui ont participé à la sécurisation de ses services.

Partager sur les réseaux sociaux

Articles liés