Google lance un programme de chasse aux bugs qui concerne Google Play. La firme de Mountain View propose de récompenser les personnes qui signalent des failles dans ses applications... mais aussi celles qui pourraient être trouvées dans certaines apps tierces parmi les plus populaires du magasin.

De toute évidence, Google est préoccupé par la fiabilité des applications mobiles qui sont présentées dans son magasin d’applications pour Android, puisque le moteur de recherche vient de lancer un programme de chasse aux bugs (« bug bounty ») qui couvre non seulement ses logiciels, mais aussi certains programmes tiers parmi ceux qui sont les plus populaires sur Google Play.

« Toutes les applications Android développées par Google et qui sont disponibles sur Google Play sont concernées », explique l’entreprise américaine, qui a ouvert pour l’occasion une page dédiée sur HackerOne, une plateforme qui centralise justement de nombreux programmes de chasse aux bugs. Mais chose plus inhabituelle, Google prévoit aussi de s’intéresser à des apps qui ne lui appartiennent pas.

Pour l’heure, le programme de Google couvre huit applications tierces : Alibaba, Dropbox, Duolingo, Headspace, Line, mail.ru, Snapchat et Tinder. Comme on peut le comprendre, il n’est visiblement pas question pour Google d’étendre son outil de signalement des failles de sécurité informatique à des applications ignorées de tout le monde : l’accent est mis sur celles qui sont téléchargées des millions de fois.

Il est en effet plus utile de combler une brèche dans Snapchat ou Tinder, qui sont des services extrêmement populaires de par le monde, plutôt que de perdre son temps et son énergie à sécuriser une obscure app perdue au fin fond de Google Play. C’est un peu comme le triage médical en zone de guerre : il faut savoir prioriser et se mobiliser là où c’est vraiment nécessaire.

CC Bram Koster

1 000 dollars par faille

Les personnes qui contribueront à ce programme devront d’abord se tourner vers la société qui développe l’application dans laquelle elles auront déniché une vulnérabilité. En clair, il faut d’abord s’adresser à Dropbox ou Line avant de se tourner vers Google pour toucher la prime, qui est de 1 000 dollars. Il faudra bien sûr que la fragilité en question ait été validée, acceptée par l’entreprise et corrigée.

Bien sûr, s’il s’agit d’une application conçue par Google, il faut s’adresser directement à ses ingénieurs.

Avec le temps, la liste des applications prises en compte dans ce programme devrait s’étoffer. C’est ce que laisse entendre la firme de Mountain View, à condition bien sûr que les sociétés qui les éditent acceptent le programme mis en place par Google. Et le fait que certaines grosses structures ne participent pas ne signifient pas qu’elles n’investissent pas dans la sécurité ; certaines ont peut-être leur propre bug bounty.

L’initiative lancée par Google est encourageante et rassurante : elle montre que la firme de Mountain View se soucie de sa plateforme, même si les récompenses proposées ne sont pas élevées — y aura-t-il beaucoup de signalements, s’il n’est proposé qu’une récompense de 1 000 dollars alors que la faille corrigée est peut-être grave ? C’est d’autant plus requis que Google Play apparaît parfois comme un nid à problèmes.

À lire sur Numerama : Google dépense toujours plus d’argent pour récompenser les chasseurs de bugs

Partager sur les réseaux sociaux