Vulnerability Reward Programs actualités et mises à jour

⏩Vulnerability Reward Programs ⏪

On commence l'année en sécurité chez Google avec le bilan de 2019 des Vulnerability Reward Programs (VRP)

Les Vulnerability Reward Programs ont été créés pour récompenser les chercheurs pour la protection des utilisateurs en informant Google des bogues de sécurité qu'ils trouvent. Leurs découvertes contribuent à assurer la sécurité des utilisateurs et d'Internet en général.

◾️6,5 millions de dollars en récompenses pour 2019

2019 a été une nouvelle année record pour nous, grâce à nos chercheurs et nous avons versé plus de 6,5 millions de dollars en récompenses, doublant ce que nous avons jamais payé en une seule année. En même temps, nos chercheurs ont décidé de faire un don sans précédent de 500 000 $ à une œuvre de bienfaisance cette année. C'est 5 fois le montant que nous avons déjà donné en une seule année. Merci beaucoup pour votre travail acharné et vos dons généreux!

◾️Le VRP de Chrome a augmenté ses récompenses en triplant le montant maximal de récompense de base de 5000 $ à 15000 $ et en doublant le montant maximal de récompense pour les rapports de haute qualité de 15000 $ à 30000 $. Le bonus supplémentaire accordé aux bogues détectés par les fuzzers exécutés dans le cadre du programme Chrome Fuzzer double également à 1 000 $.

◾️Android Security Rewards a élargi son programme avec de nouvelles catégories d'exploit et des récompenses plus élevées. Le premier prix est maintenant de 1 million de dollars pour un exploit d'exécution de code à distance de chaîne complète avec persistance qui compromet l'élément sécurisé Titan M sur les appareils Pixel. Et si vous réalisez cet exploit sur des versions spécifiques d'aperçu de développeur d'Android, nous ajoutons un bonus de 50%, ce qui fait le premier prix de 1,5 million de dollars. Consultez notre page des règles du programme pour plus de détails sur nos nouvelles catégories d'exploit et récompenses.

◾️Le programme de récompenses de sécurité de Google Play a étendu sa portée à toute application avec plus de 100 millions d'installations, ce qui a généré plus de 650 000 $ de récompenses au second semestre 2019.

🍃Le bon moment pour se remémorer ces grandes annonces avant d'ouvrir une nouvelle page

— Modifié le 29 janv. 2020 à 17:38:19

⏩ Google augmente sa prime ⏪

Google augmente sa prime aux failles sur les applications du Playstore encourageant ainsi la communauté à améliorer la sécurité de tous, mais pas seulement il annonce aussi un nouveau programme destiné à identifier et à limiter les problèmes d’abus de données dans les applications Android

Chez Google, nous comprenons la force des plates-formes ouvertes et des écosystèmes et le fait que les meilleures idées ne viennent pas toujours de l'intérieur. C’est pour cette raison que nous proposons un large éventail de programmes de récompense de la vulnérabilité, encourageant la communauté à nous aider à améliorer la sécurité de tous. Aujourd'hui, nous développons ces efforts en apportant d' importants changements au programme de prime de sécurité Google Play (GPSRP) , ainsi qu'au lancement du nouveau programme de récompense de protection des données pour les développeurs (DDPRP) .

◾Augmentation de la portée du programme de récompense de sécurité Google Play

Nous étendons la portée de GPSRP pour inclure toutes les applications dans Google Play avec 100 millions d'installations ou plus. Ces applications sont désormais éligibles aux récompenses, même si les développeurs d'applications ne disposent pas de leur propre programme de divulgation de vulnérabilité ou de prime aux bogues. Dans ces scénarios, Google aide à divulguer de manière responsable les vulnérabilités identifiées au développeur de l'application concernée. Cela permet aux chercheurs en sécurité d'aider des centaines d'organisations à identifier et à corriger les vulnérabilités de leurs applications.

À ce jour, GPSRP a versé plus de 265 000 dollars en primes. Les récentes augmentations de la portée et des récompenses ont généré 75 500 $ de récompenses rien qu'en juillet et août. Avec ces changements, nous prévoyons que la communauté de la recherche sur la sécurité intensifiera son engagement pour renforcer le succès du programme.

◾Présentation du programme de récompense Developer Data Protection

Aujourd'hui, nous lançons également le programme de récompense Developer Data Protection . DDPRP est un programme de primes, en collaboration avec HackerOne, destiné à identifier et à limiter les problèmes d’abus de données dans les applications Android, les projets OAuth et les extensions Chrome. Il reconnaît les contributions des personnes qui aident à signaler les applications qui enfreignent les règles du programme Google Play, Google API ou Google Chrome Web Store Extensions.

Le programme vise à récompenser tous ceux qui peuvent fournir des preuves véridiques et non équivoques d’abus de données, selon un modèle similaire à celui des autres programmes de récompense pour vulnérabilités de Google. En particulier, le programme vise à identifier les situations dans lesquelles les données de l'utilisateur sont utilisées ou vendues de manière inattendue ou modifiées de manière illégitime sans le consentement de l'utilisateur. Si des abus de données liés à une application ou à une extension Chrome sont identifiés, cette application ou cette extension sera par conséquent supprimée de Google Play ou de Google Chrome Web Store. Si un développeur d'application abuse de l'accès aux portées restreintes de Gmail, leur accès à l'API sera supprimé. Bien qu'aucun tableau de récompense ou récompense maximale ne soit répertorié pour le moment, en fonction de l'impact, un seul rapport pourrait rapporter une récompense pouvant aller jusqu'à 50 000 dollars.

🍃50 000 dollars, le chiffre est lâché de quoi motiver les plus expérimentés !!

⏩Android Security Reward augmente ses primes ⏪

Il y a du nouveau dans les catégories et dans les primes du Android Security Reward sur les Pixel pour commencer

Le programme Android Security Rewards reconnaît les contributions des chercheurs en sécurité qui investissent temps et efforts pour nous aider à rendre Android plus sécurisé. Le programme Android Security eécompense les contributions des chercheurs en sécurité. Investissez temps et efforts pour rendre Android plus sécurisé. Grâce à ce programme, nous fournissons des récompenses monétaires et une reconnaissance publique des vulnérabilités révélées à l'équipe de sécurité Android. Le niveau de récompense est basé sur la gravité du bogue et augmente pour les rapports complets comprenant le code de reproduction, les scénarios de test et les correctifs.

Ce programme couvre les vulnérabilités de sécurité découvertes dans les dernières versions Android disponibles pour les téléphones et tablettes Pixel. Cet ensemble de dispositifs changera à compter de juillet 2019, certainement pour y accueillir le Pixel 4, d'autres modèles peut être !!

◾Pixel 3a and Pixel 3a XL Pixel 3a et Pixel 3a XL
◾Pixel 3 and Pixel 3 XL Pixel 3 et Pixel 3 XL
◾Pixel 2 and Pixel 2 XL Pixel 2 et Pixel 2 XL
◾Pixel and Pixel XL Pixel et Pixel XL

🍃Côté prime la plus haute s'élève à 1,5 million de dollars, de quoi motiver les chercheurs en sécurité du monde entier !!