Google étend son programme de récompense financière pour les failles de sécurité soumises au projet Open Source de la firme de Mountain View. Mais avant de détailler un peu plus la nouvelle extension du programme, revenons quelques années en arrière…

278830,xcitefun-google-android-wallpaper-03-by-morozov

Depuis un peu plus de deux ans maintenant, le géant de la recherche sur Internet a mis en place un système de récompense pour toutes failles de sécurité découvertes dans son navigateur Chrome. Le montant maximal peut atteindre les 10 000 dollars. Un chèque plus qu’attirant pour les développeurs du monde entier pour mettre du beurre dans les épinards en cette période de crise. Google est également bénéficiaire dans l’opération puisqu’il bouche ainsi plus rapidement les potentielles failles de sécurité que les pirates informatiques utilisent pour leurs activités peu scrupuleuses.

Chrome d’abord, puis tout l’Open Source…

Son système de chasseur de primes virtuels intéresse de plus en plus de développeurs autour du globe et Google l’a bien compris. La firme de Mountain View ouvre ainsi son programme à d’autres logiciels Open Source tels que Open SSH, les bibliothèques de fonctions pour la gestion d’images comme libjpeg ou encore le noyau Linux lui-même. Les développeurs peuvent aussi proposer leurs patchs contenant des modifications majeures de ces logiciels comme le passage à l’ASLR (l’adressage mémoire aléatoire au démarrage de l’application) ou encore réduire l’utilisation de privilèges utilisateurs spécifiques. Cela, toujours dans l’optique de sécuriser in fine les projets de Google.

Sur le blog dédié à la sécurité chez Google, la firme étend une nouvelle fois son programme à d’autres logiciels Open Source comme Apache, Postfix ou encore GCC. L’extension concerne aussi l’Android Open Source Project, soit tout le système d’exploitation Android disponible librement sur la page du projet. Mais les règles du jeu diffèrent quelque peu pour que les mainteneurs des différents logiciels sus-cités puissent récupérer en premier lieu le fruit de ce programme. En effet, les développeurs qui soumettent un patch de ce type doivent l’envoyer d’abord sur le dépôt du projet en question. Si, et seulement si, le code est accepté par la communauté du logiciel, alors le développeur peut envoyer sa demande de récompense à Google. Par la suite, la proposition de modification est une nouvelle fois analysée pour enfin sortir la récompense allant de 500 dollars à 3113,70 dollars.

Un programme pervers ?

Le système de Google peut être vivement salué en proposant là une méthode rapide pour combler les failles de sécurité des principaux logiciels libres. En revanche, certains peuvent aussi voir d’un mauvais œil ce principe de paiement contre un patch. Un principe qui va à l’encontre de la contribution libre et volontaire de chaque développeur aux projets Open Source de la Toile. On conclura de notre côté que Google trouve toujours son compte de son côté en sécurisant autant que faire se peut ses applications, systèmes et services tout en gardant un œil sur les recrues potentielles qui participent à son système de chasseurs de prime virtuels.