Il est regrettable qu’à mesure que la technologie s’améliore, les menaces se multiplient. Les hackers sont constamment à la recherche de nouveaux moyens d’exploiter des failles.
Conscient de ce problème, Google a modifié la structure des récompenses de son programme Chrome Vulnerability Reward Program (VRP) afin d’encourager une « recherche plus approfondie en matière de sécurité ».
Conséquence : les montants que les chasseurs de bug peuvent désormais gagner sont beaucoup plus élevés qu’auparavant. Le montant maximal que vous pouvez gagner pour un seul bug est de 250 000 dollars. Pour gagner cette prime, vous devez cependant accomplir deux tâches importantes.
Vous devez localiser un bug de corruption de mémoire
Tout d’abord, vous devez localiser un bug de corruption de mémoire à l’intérieur d’un processus non sandboxé.
On parle de corruption de la mémoire lorsque la mémoire d’un logiciel est altérée d’une manière ou d’une autre, ce qui entraîne des comportements anormaux.
Un processus non sandboxé fait référence à un exploit qui peut affecter tous les aspects d’une application. Ici le navigateur Chrome.
Démontrer une exécution de code à distance
Le deuxième critère est que vous devez fournir un « rapport de haute qualité » démontrant une exécution de code à distance (RCE).
Si vous le faites, vous pourrez donc gagner un quart de million de dollars. Auparavant, le montant maximum était plafonné à… 40 000 dollars.
N’oubliez pas qu’aucun de ces prix n’est garanti
À partir de là, les montants de récompense diminuent au fur et à mesure que les bugs de corruption de la mémoire deviennent moins graves.
La démonstration d’une exécution à distance dans un environnement contrôlé peut vous faire gagner jusqu’à 90 000 dollars. Un rapport faisant état d’une corruption active de la mémoire pourrait vous rapporter 35 000 dollars au maximum.
N’oubliez pas qu’aucun de ces prix n’est garanti. Google doit encore examiner votre travail, puis statuer.
Le montant de la récompense dépend de l’impact, faible ou élevé, de la faille
Il existe d’autres scénarios dans lesquels le géant de la technologie offre une récompense plus importante. Par exemple, si vous trouvez un bug de corruption de mémoire dans « un processus hautement privilégié », vous pouvez recevoir jusqu’à 85 000 dollars. La découverte du même exploit dans un processus sandboxing est assortie d’une récompense maximale de 55 000 dollars.
Si Google met l’accent sur la localisation des failles de corruption de la mémoire, l’entreprise actualise également la structure des récompenses pour d’autres failles de sécurité. Le montant de la récompense dépend de l’impact, faible ou élevé, de la faille. Par exemple, la découverte d’une faille de contournement de l’isolation d’un site peut vous rapporter jusqu’à 30 000 dollars. La découverte d’un exploit d’usurpation de l’interface de sécurité donne droit à 10 000 dollars.
En outre, la récompense pour le contournement de MiraclePtr a augmenté de façon exponentielle – elle a plus que doublé, en fait, passant de 100 115 à 250 128 dollars.
Source : « ZDNet.com »