Les programmes de chasse aux bugs se sont renforcés un peu partout chez les éditeurs de logiciels, prenant notamment appui sur des plateformes telles que HackerOne ou Bugcrowd. Parmi les derniers fournisseurs en date à avoir étendu les siens, Google a augmenté le périmètre du programme de récompense associé à Play, sa boutique d’apps Android. « Nous élargissons le champ de GPSRP [Google Play Security Reward Program] pour y inclure toutes les apps de Google Play ayant 100 millions d’installations ou plus », écrit l’équipe Android Security & Privacy dans un billet sur son blog développeurs. Il devient ainsi possible de rechercher des failles dans ces applications et de s’en voir récompensé, même si les développeurs qui les ont conçues ne disposent pas de leur propre programme de bug bounty. Cela va permettre aux chercheurs en sécurité « d’aider des centaines d’entreprises à identifier et corriger des vulnérabilités dans leurs apps », souligne Google.
En juin et juillet, la firme de Mountain View a versé 75 000 dollars à travers ce programme et plus de 265 000 dollars depuis sa création en 2017. GPSRP est accessible sur HackerOne. Dans un premier temps, les développeurs d’apps Android déposent une demande pour y participer et lorsque Google et HackerOne ont évalué la légitimité de leur demande, les apps correspondantes sont inclues dans le périmètre du programme. Les chercheurs en sécurité peuvent alors partir à la chasse aux bugs. Lorsque l’un d’eux identifie une vulnérabilité dans une application, il en informe directement le développeur de l’app à travers le processus de divulgation de failles, puis travaille avec lui à la résolution du problème. Une fois qu’ils y sont parvenus, le hacker peut alors se tourner vers Google pour être indemnisé à travers son programme de bug bounty, sans compter la récompense que peut éventuellement lui accorder le développeur de l’app lui-même.
Un 6ème chercheur en sécurité millionnaire sur HackerOne
A partir des données recueillies par GPSRP sur les failles détectées, Google vérifie automatiquement l’ensemble des apps disponibles sur Google Play à la recherche de vulnérabilités similaires. Les développeurs concernés sont prévenus à travers la console Play dans le cadre du programme ASI (App Security Improvement) qui fournit les informations pour la corriger. Google explique qu’en 2018, il a aidé plus de 30 000 développeurs à combler des failles sur environ 75 000 apps sur Play à travers GPSRP, en ajoutant que les apps en question ne sont pas diffusées aux utilisateurs tant que les bugs ne sont pas corrigés.
Sur l’ensemble des programmes de bug bounty existants, certaines des récompenses attribuées peuvent être très élevées suivant la criticité et la portée des failles découvertes et corrigées. Ainsi, la plateforme HackerOne a annoncé fin août qu’elle comptait maintenant un 6ème hacker ayant dépassé le million de dollars en indemnités versées depuis le début de l’année. Ces traqueurs de vulnérabilités se situent en Asie, en Australie, en Amérique du Nord et en Europe où un Britannique et un Suédois comptent parmi ces chercheurs en sécurité fortement récompensés dont HackerOne livre un portrait sur son site.