Google a annoncé, ce 14 Septembre, que 200 000 dollars seraient offerts à l’internaute qui parviendrait à pirater Android Nougat. Le « Project Zero » va essayer d’éradiquer les vulnérabilités critiques du nouveau système d’exploitation pour mobiles.
Natalie Silvanovich, une spécialiste sécurité de Google, a annoncé cette semaine le lancement de Project Zero. Les hackers les plus talentueux, qui accepteront de collaborer avec l’entreprise, vont pouvoir concourir pour remporter les 200 000 dollars promis au vainqueur de la compétition. Objectif : trouver les plus grosses vulnérabilités d’Android Nougat (7.0).
Un concours de piratage Android
Dans la même lignée que ses initiatives de « Vulnerability Reward », le Projet Zero de Google a l’intention de canaliser l’attention des hackers du monde entier vers une bonne cause. Pendant les 6 prochains mois, les participants au concours pourront signaler sur l’Android Issue Tracker les bugs qu’ils auront repérés sur Android Nougat. Ils devront inclure une description détaillée de la faille qu’ils auront découvert, la méthode utilisée pour l’exploiter et les conséquences sur l’appareil touché. Si la vulnérabilité découverte colle bien à ce qui est demandé par Google, ils seront en lice pour toucher l’une des trois récompenses annoncées. Comment pourront-ils se conformer aux termes du concours ? En trouvant une faille exploitable (sur un Nexus 6P ou un Nexus 5X) uniquement en possédant le numéro de téléphone et l’adresse mail d’un mobile Android. Ou comme l’explique Silvanovich dans le communiqué officiel : « trouver une vulnérabilité ou une chaine de bugs qui autorise l’exécution de code à distance sur de multiples appareils (…) ».
Des récompenses vraiment suffisantes ?
Le premier prix, qui sera attribué à celui qui aura découvert et expliqué le bug le plus grave, sera d’un montant de 200 000 dollars (environ 177 000 euros). Le second prix descendra à 100 000 dollars et, pour le troisième prix (attribué à plusieurs participants), on retombera à « seulement » 50 000 dollars. Mais même si ces montants peuvent faire tourner la tête, il est possible qu’ils ne soient pas assez attirants pour une bonne partie des hackers les plus talentueux du globe. Malgré son gros effort financier, Google atteint à peine avec cette somme les montants qui sont promis sur le marché noir pour la découverte de certains bugs, par des organismes ou des Etats peu recommandables. Selon un article de Wired par exemple, une faille découverte sur une ancienne version d’iOS avait permis à son hacker d’empocher en 2012 pas moins de 250 000 dollars
