Sur le marché des failles critiques, Google vient de placer la barre haute en proposant une récompense pouvant aller jusqu’à 1,5 million dollars dans le cadre du programme Android Security Rewards. Cette somme est réservée à des vulnérabilités trouvées dans sa puce de sécurité Titan M présente dans les terminaux Pixel.
Ce programme, lancé pour la première fois en 2015, fonctionne comme un bug bounty dans lequel des hackers s’introduisent dans les systèmes pour les améliorer. En fonction des découvertes, Google verse des récompenses. Depuis 4 ans, la firme a versé plus de 4 millions de dollars et a récupéré plus de 1800 rapports de sécurité. La récompense la plus élevée versée en 2019 a été de 161 337 dollars sachant que 3,4 millions de dollars de primes ont été versées en 2018.
Une prime élevée pour maîtriser sa sécurité
En proposant une prime spécifique sur Titan M, Google lance un défi aux hackers pour tenter de compromettre la sécurité de sa puce. Titan M existe depuis 2018 sur les smartphones Pixel 3. Cette puce vise à sécuriser les données sensibles sur le terminal et l’OS mobile Android. En 2019, Gartner a considéré que Titan M était la solution la plus forte par rapport à d’autres terminaux évalués. « C’est pourquoi nous avons créé un prix pour récompenser les chercheurs pour des exploits capables de contourner la protection des éléments sécurisés », explique dans un blog Jessica Lin, membre de l’équipe de sécurité Android.
Avec une prime de 1,5 million de dollars, Google veut répondre à deux problématiques. La première est de séduire les spécialistes de la sécurité sur son OS mobile, des ressources relativement rares. La seconde est de concurrencer d’autres initiatives comme Zerodium qui achète au prix des failles critiques pour les revendre ensuite, notamment à des gouvernements.