Les applications Google sont nécessaires pour les fonctionnalités essentielles et sont au cœur d’un grand nombre de fonctions de nos smartphones. Ainsi, tout comme une faille dans Android pourrait vous gâcher la journée, une faille dans l’une des applications faisant partie de l’ensemble d’applications et de services de Google pourrait également en être la cause. Aujourd’hui, Google met en place un programme de primes pour ceux qui souhaitent tenter de trouver des problèmes et de les signaler à l’entreprise.
Le programme de récompense des vulnérabilités (Vulnerability Reward Program ou VRP) que Google vient de dévoiler pour ses applications Android vous permettra d’être récompensé si vous tombez sur un problème que Google ne veut pas que les acteurs malveillants découvrent. L’entreprise disposait déjà d’un tel programme pour Android et ses applications open-source, mais elle en déploie désormais un pour les applications Google.
En fonction du problème que vous signalez, de sa gravité et de l’application qu’il affecte, vous pouvez obtenir une récompense monétaire, dont le montant varie en fonction du niveau auquel appartient l’application et de la gravité du problème.
Google has added a new Vulnerability Reward Program (VRP) called the Mobile VRP that focuses on its first-party Android apps.
Security researchers that disclose qualifying vulnerabilities impacting Android apps developed or maintained by Google can be rewarded depending on the… pic.twitter.com/v7RszpNUPF
— Mishaal Rahman (@MishaalRahman) May 23, 2023
Il existe trois niveaux possibles, le plus important étant le niveau 1, une catégorie réservée exclusivement aux services Google Play, à Google Cloud, à Google Chrome, à Gmail, à Chrome Remote Desktop et, bien sûr, à l’application Google elle-même.
Les applications de niveau 2 sont toutes les applications tierces qui interagissent avec les applications de niveau 1 ou qui interagissent avec les données des utilisateurs ou les services Google.
Enfin, les applications de niveau 3 sont celles qui n’interagissent pas avec les services Google et ne gèrent pas de données utilisateur.
En ce qui concerne le montant du prix, si vous réussissez à trouver une vulnérabilité permettant l’exécution de code arbitraire à distance sur une application de niveau 1, Google vous offrira avec enthousiasme 30 000 dollars.
La récompense passe à 25 000 dollars si vous trouvez un problème tout aussi grave sur une application de niveau 2, et à 20 000 dollars pour une application de niveau 3.
À partir de là, les prix diminuent en fonction de la gravité du problème : une vulnérabilité permettant à un pirate d’attaquer au sein du même réseau sur une application de niveau 3 ne vous rapportera que 500 dollars.