Pour sécuriser Android, Google met 350 000 dollars en jeu

 

Google organise une compétition baptisée Project Zero destinée à révéler d’éventuelles failles d’Android. Il met en jeu de généreuses récompenses pour motiver les hackers les plus doués.

android bootloader nexus 5x

Dans la mesure où se multiplient les failles de sécurité, plus ou moins graves selon les cas, de StageFright l’an dernier à QuadRooter il y a quelques semaines, en passant par la faille Android exploitable via un simple JPG, tout juste mise au jour, Google a mis en place, dès 2015, un programme visant à récompenser les « chasseurs de failles ». En juin dernier, nous relevions ainsi que 500 000 dollars avaient été distribués par Mountain View à quelque 82 personnes ayant découvert des failles dans le système d’exploitation.

350 000 dollars de récompenses

Google passe désormais à la vitesse supérieure en annonçant aujourd’hui le lancement du Project Zero Prize, une compétition visant à chercher des vulnérabilités sur des terminaux Android. Les conditions imposées par Google sont aussi rigoureuses que la récompense accordée est généreuse puisqu’il s’agit de hacker un Nexus 6P et un Nexus 5X dont les participants ne connaissent que le numéro de téléphone et l’adresse email associés. Ils devront être capables d’exécuter du code sur les smartphones en question à distance, soit en passant par un SMS, soit par un email.

La récompense s’élève à 200 000 dollars pour le vainqueur de la compétition, tandis que son dauphin empochera 100 000 dollars. À ce montant s’ajouteront 50 000 dollars distribués par le programme Android Security Rewards déjà en activité. Les compétiteurs ont jusqu’au 14 mars 2017 pour présenter leurs résultats.

Pourquoi une telle compétition ?

Google justifie sa démarche par une volonté de déterminer à quels types de failles son système d’exploitation est le plus vulnérable, mais aussi d’informer au mieux le public sur ce type de problèmes. « Il y a souvent des rumeurs sur l’exploitation à distance de failles Android, mais il est rare d’en voir en action », justifie Natalie Silvanovich, en charge du projet chez Google.

Et puis il faut bien avouer qu’en termes d’image, il est tout de même plus acceptable pour Google d’être maître de découvertes de failles dans son OS plutôt que de laisser les entreprises dédiées à la sécurité publier leurs travaux de leur côté. Au moins pourra-t-il prendre le temps de régler le problème sans hâte, ou du moins maîtrisera-t-il plus facilement sa communication.


Si vous voulez recevoir les meilleures actus Frandroid sur WhatsApp, rejoignez cette discussion.