Google va récompenser les chasseurs de bugs d’Android

La chasse aux bugs sur Android est lancée et Google incite chacun à y participer. Comment ? En promettant tout simplement une récompense à ceux qui lui permettront de rejeter toutes les failles de son sytème OS mobile Android. Suivant la méthode des « chasseurs de bugs » déjà utilisée avec succès par Youtube ou Facebook, le géant américain du Web a donc choisi de récompenser en billets verts les programmeurs informatiques, voire même les hackers, qui testeront la résistance du système, trouveront des bugs et les signaleront.

Trois paliers de récompenses de base sont prévus : 500 dollars pour les vulnérabilités jugées modérées, 1.000 dollars pour celles à niveau élevé et 2.000 dollars pour les failles dites « critiques ». Des sommes qui seront multipliées par 1,5 si les chercheurs fournissent un correctif. Cette chasse aux bugs, autrement baptisée Android Security Rewards, pousse même la récompense jusqu’à 30.000 dollars. Un jackpot touché par celui qui réussira à compromettre les dispositifs de sécurité plutôt costauds que sont TrustZone ou Verified Boot

Un délai de 90 jours avant toute publication

A noter que, dans un premier temps, ces « Oscars sur bug » ne concernent que les dernières versions du système disponibles sur les Nexus 6 et Nexus 9. Et, pour les plus avertis, les failles acceptées ne doivent être identifiées qu’au sein du code de l’AOSP (Android open source Project), des OEM (pilotes et bibliothèques logicielles) et le noyau du système (kernel) Linux et l’OS TrustZone.

Restera alors aux gagnants à patienter avant de divulguer leurs découvertes, sous peine de ne rien recevoir de Google. La firme de Mountain View demande effectivement un délai de 90 jours avant toute publication, histoire de corriger les failles avant qu’elles ne fassent des dégâts.