Google lance un nouveau programme à destination des chercheurs en sécurité sous Android, l’Android Security Reward Program (ASRP). Ce programme vise à rendre Android plus sûr en motivant encore un peu plus les dénicheurs de bugs en leur offrant des primes et la reconnaissance qu’ils mériteraient. Pour le moment, seuls les Nexus 6 et 9 livrés aux Etats Unis sont concernés par ces primes mais si l’opération rencontre le succès escompté, il se pourrait qu’elle soit élargie à d’autres modèles.
Les primes promises ne seront évidemment accordées que selon un certain nombre de conditions. La première est l’origine de la faille. Les nouveux bugs doivent se trouver au sein de l’Android Open Source Project (le code source d’Android), de l’OEM (drivers et bibliothèque), du noyau, de la Trustzone ou des modules. Les applications n’entrant pas dans ces catégories ne sont toutefois pas totalement exclues du programme. Dans le cas où un bug est détecté, celui ci pourra être éligible pour autant que des conséquences sur la sécurité seraient avérées. N’oublions pas qu’un autre programme existe pour les applications disponibles sur le Google Play : Google Vulnerability Reward Program.
Un autre paramètre sera pris en compte pour le montant de la prime, l‘importance du problème. Quatre niveaux ont été définis, Bas, Modéré, Haut et Critique. Plus la faille découverte est grande, meilleure sera la prime, allant de 0 à 2000 $ suivant la catégorie. Si pointer une erreur c’est bien, c’est encore mieux d’y remédier. Google l’a bien compris et inclus un autre paramètre pouvant faire exploser la prime. Le premier palier après la découverte du bug est de pouvoir définir les conditions de risques par un test manuel. Le second palier, le risque est avéré par CTS, une application réservée au développeurs produisant un rapport de fonctionnement. On retrouve à ce même niveau la production par le chercheur d’un patch correctif. Si vous combinez CTS et Patch, Google quadruple la prime de départ (jusqu’à 8000$ pour un risque critique). La prime peut être encore plus grande si la faille concerne le noyau d’Android ou la Trustzone.
En lançant ce nouveau programme, Google complète ses programmes à destination des chercheurs en sécurité après les programmes concernant Chrome ou les applications disponibles sur les stores. Il est aussi clair que cette politique s’inscrit dans une politique Open Source et permet d’impliquer concrètement un maximum d’acteurs qui contribuent chacun à rendre meilleur Android et les produits Google. On notera la possibilité pour les découvreurs de faille de sécurité de reverser leur prime à une oeuvre, celle ci sera alors doublée par la firme de Montain View.
Source (en anglais) : https://www.google.com/about/appsecurity/android-rewards/index.html
Définition des niveaux de risques : http://source.android.com/devices/tech/security/overview/updates-resources.html
Bonne initiative de leur part et c’est assez bien rémunéré en plus…