Google a officiellement annoncé l’expansion de son programme de prime aux bugs. Les chercheurs pourront désormais gagner de l’argent en détectant les utilisations abusives des données des utilisateurs et en identifiant les vulnérabilités des applications Android comportant plus de 100 millions d’installations.
Programme de récompense pour la protection des données des développeurs (DDPRP)
La première innovation sera le programme DDPRP , dans lequel les spécialistes de la sécurité de l’information pourront signaler les cas d’abus des données des utilisateurs. Ces problèmes peuvent être rencontrés dans les applications tierces ayant accès à l’API Google, dans les applications Android du Google Play Store, ainsi que dans les applications et les extensions du Chrome Web Store.
« L’objectif de ce programme est d’encourager tous ceux qui peuvent fournir des preuves fiables et sans ambiguïté d’utilisation abusive de données », a déclaré Google. «Ce programme vise en particulier à identifier les situations dans lesquelles des données utilisateur sont utilisées ou vendues de manière inattendue, ainsi que réutilisées illégalement sans le consentement de l’utilisateur.»
Les professionnels de la sécurité de l’information qui détectent des cas d’abus de données ont droit à une récompense pouvant aller jusqu’à 50 000 dollars.
Dans ce cas, Google suit l’exemple de Facebook. En avril 2018, après un scandale impliquant Cambridge Analytica et l’utilisation abusive de données par l’utilisateur, le réseau social a mis à jour le programme de prime aux bugs afin que les personnes qui découvrent une telle utilisation abusive dans une application tierce puissent recevoir jusqu’à 40 000 $ de récompenses.
Permettez-moi de vous rappeler qu’au début de ce mois, Facebook a étendu l’action de ce programme sur Instagram après un autre incident déplaisant lié à Hyp3r. En effet, au début du mois d’août 2019, Hyp3r, partenaire publicitaire d’Instagram, a été reconnu coupable de collecte de données d’utilisateur pour la compilation ultérieure de profils de publicité. Hyp3r a secrètement collecté et stocké des millions de récits d’utilisateurs, d’images, de données de géolocalisation, de biographies, d’intérêts, etc. En conséquence, Hyp3r a été bloqué par Facebook pour violation des règles de la plate-forme.
Prime aux bugs pour les grandes applications
Une autre annonce intéressante de Google est un programme de récompense pour toutes les erreurs trouvées dans les applications volumineuses du Google Play Store. Les chercheurs pourront désormais rechercher des vulnérabilités dans toutes les applications dont le compteur d’installations a dépassé 100 millions, et signaler les problèmes à Google. Dans ce cas, les développeurs de telles applications n’ont pas besoin de s’inscrire spécifiquement ni de prendre d’autres mesures.
Les rapports sur les vulnérabilités seront reçus via le GPSRP de la sécurité Google Play sur la plate-forme HackerOne , puis ils seront transmis aux développeurs d’applications. S’ils ne parviennent pas à résoudre les erreurs identifiées, Google exclura les applications du Play Store.
Fait intéressant, les principaux développeurs tels que Facebook, Microsoft ou Twitter, qui ont leurs propres programmes de primes de bugs, ne sont pas exclus du GPSRP. De plus, Google affirme que les chercheurs peuvent signaler deux fois les erreurs: via GPSRP et directement via les programmes de primes de bugs des entreprises elles-mêmes, leur permettant ainsi de gagner deux fois plus de récompenses.
Bien qu’à première vue, il semble que Google paie de sa poche les bugs des applications tierces et que cela n’ait aucun sens, la société explique que c’est en fait pratique et rentable. Le fait est que GPSRP a été lancé en 2017, mais n’avait pas beaucoup de popularité: pour toujours, Google ne payait que 265 000 USD aux chercheurs, bien que le programme incluait déjà un certain nombre d’applications populaires (sélectionnées manuellement par Google).
Google explique que tous les rapports de vulnérabilité reçus au cours des trois dernières années n’ont pas été vains. Tous les rapports d’erreur ont été catalogués et inclus dans un système qui analyse automatiquement les applications du Google Play Store à la recherche de problèmes similaires. Si un bug est détecté, les développeurs de l’application vulnérable reçoivent un avertissement via la console Google Play et ont la possibilité de résoudre le problème ou leurs applications sont supprimées du répertoire. Ce système s’appelle App Security Improvement (ASI) et, selon la société , il a déjà aidé 300 000 développeurs à réparer plus de 1 000 000 d’applications sur Google Play.
