Les développeurs peuvent se frotter les mains : les programmes de récompense des chasseurs de vulnérabilités ne cessent de fleurir chez les géants de l'Internet. Microsoft, Facebook ou encore Mozilla sont autant d'adeptes du principe. Mais cette fois-ci, Google innove. Les récompenses ne concerneront pas des solutions directement éditées par la firme mais bel et bien des logiciels Open Source. Généralement maintenus par des bénévoles non rémunérés, les projets de logiciels open-source reposent habituellement en partie sur les codeurs de certaines entreprises ayant bâti des solutions autour de ceux-ci.
 « Nous avons décidé d'essayer quelque chose de nouveau », peut on lire dans la description du programme. « Un bon nombre de vulnérabilités proviennent d'erreurs de codage évitables ou sont plus faciles à exploiter en raison de l'absence de techniques d'atténuation simples. Nous espérons résoudre ce problème dans une certaine mesure ». Le programme Google ajoute donc potentiellement une incitation financière à ce qui était auparavant considéré comme un travail non rémunéré effectué par pur dévouement et vise à «améliorer la sécurité des logiciels tiers essentiels à la santé de l'Internet», écrit Michal Zalewski, un membre de l'équipe de sécurité de Google.
Jusqu'à 3 133,7$ de récompense
La société a sélectionné plusieurs des programmes Open-Source et bibliothèques de code les plus utilisés dans le networking, l'analyse d'image et la sécurité. Difficile en effet de trouver une entreprise ou une organisation n'utilisant pas certaines des solutions retenues. Sur la liste, on retrouve donc OpenSSH, OpenSSL , BIND ou encore des analyseurs d'image tels que libjpeg et libpng . Certains composants communs du noyau Linux, telle que la Kernel Based Virtual Machine, ne manquent pas à l'appel. On retrouve aussi bien entendu les fondations Open Source de Google, y compris le navigateur Chrome et son moteur de rendu de Blink. Dans un second temps, Google devrait étendre le programme à des serveurs Web comme Apache et nginx ainsi qu'à des services SMTP comme Sendmail et Postfix et des logiciels VPN comme OpenVPN, précise, Michal Zalewski.
Les récompenses varieront de 500 $ à 3 133,70 $, une rétribution maximale dont les habitués comprendront vite la signification : élite, en langage ASCII.Â