Les pirates sont triomphants - Google vient d'augmenter considérablement la récompense pour la découverte de vulnérabilités dans les terminaux Linux. Dans un article sur le blog de Vulnerability Matchmaker, Eduardo Vela, Google a récemment dû augmenter les enjeux "pour maintenir nos récompenses en ligne avec les attentes" de la communauté Linux. Le déménagement ayant été un succès, l'entreprise a décidé de le prolonger jusqu'à la fin de l'année.
Ainsi, jusqu'au 31 décembre 2022, Google paiera entre 20 000 et 91 337 dollars pour exploiter des vulnérabilités du noyau Linux, Kubernetes, GKE ou kCTF exploitables dans le laboratoire de test de l'entreprise. Pour ceux qui se demandent pourquoi 91 337 $ et non 90 000, 91 000 ou tout autre chiffre rond - 1337 est également connu sous le nom de "Leet speak" ou "elite speak" dans les communautés de piratage et de jeu. Cette communauté abrège souvent les mots et remplace les lettres par des chiffres, ainsi "élite" devient "1337".
Concernant le succès du test existant, Google a déclaré avoir reçu neuf candidatures en trois mois et versé plus de 175 000 dollars en récompenses. Les soumissions comprenaient cinq vulnérabilités du jour zéro ou des failles jusque-là inconnues et deux exploits pour les vulnérabilités du premier jour ou des failles nouvellement découvertes. Selon Google, trois d'entre eux ont été patchés et rendus publics.
Google modifie "légèrement" la structure des récompenses. Il paiera désormais 31 337 $ "pour la première livraison d'un exploit pour une vulnérabilité donnée" et ne paiera rien pour les exploits en double. Cependant, certains bonus peuvent toujours s'appliquer aux exploits en double. Ceux-ci incluent : 20 000 $ pour les exploits des vulnérabilités de type zero-day, 20 000 $ pour les exploits des vulnérabilités qui ne nécessitent pas d'espaces de noms d'utilisateurs non privilégiés (CLONE_NEWUSER) et 20 000 $ pour les exploits utilisant de nouvelles techniques (auparavant, rien ne payait).
Ce Linux Kernel Bug Bounty est une petite partie du programme global Vulnerability Bounty de Google, qui couvre Android, Chrome et d'autres projets open source. En 2021, Google a versé 8,7 millions de dollars en récompenses, dont 2,9 millions de dollars en raison d'erreurs de saisie. Android et 3,3 millions de dollars pour les bugs dans Chrome. Le total des récompenses l’année dernière était en hausse par rapport aux 6,7 millions de dollars de 2020.
Lisez aussi:
- Comment installer et gérer les extensions dans Google Chrome
- Comment ajouter une page Web à la liste de lecture de Google Chrome