Google : 2021 a bien payé pour les chercheurs en failles de sécurité

Florian Innocente |

2021 a été une bonne année pour les chercheurs en sécurité qui traquent les failles dans les produits de Google. Non pas que les précédentes aient été mauvaises mais des records de versements de récompenses, sonnantes et trébuchantes, ont été encore atteints.

Dans son bilan de l'année écoulée, Google a rétribué des contributeurs pour un total de 8,7 millions de dollars (7,6 millions euros) contre 6,7 et 6,5 millions de dollars en 2020 et 2019. 696 chercheurs ont été récompensés pour leurs découvertes dans Android, Chrome, Chrome OS, Google Play et autres services ou logiciels. Sur ce montant total, 300 000 dollars sont allés à des oeuvres de charité proposées par les destinataires de ces récompenses.

Le total des versements annuels pour des failles de sécurité dans les produits de Google

Certaines failles, plus graves, payent mieux que d'autres. Le signalement d'un défaut en particulier dans Android s'est transformé en un chèque de 157 000 dollars (environ 137 000 euros). C'est 5 % du montant total payé pour les rapports sur la plateforme mobile (un peu moins de 3 millions de dollars en 2021). Autres exemples : pour Chrome la plus belle prime a été de 27 000 dollars et de 45 000 dollars pour Chrome OS.

Le père d'Android a par ailleurs mis en place l'année dernière l'Android Chipset Security Reward Program. Il couvre des vulnérabilités trouvées dans des composants courants dans les smartphones Android. 220 failles ont été isolées et 296 000 dollars versés.

Google se targue au passage d'avoir la récompense la plus importante du secteur : 1,5 million de dollars pour qui mettra en défaut sa puce de sécurité Titan-M présente dans les Pixel (l'équivalent du Secure Enclave des iPhone).

Apple a mis sa barre la plus haute à 1 million de dollars pour un cas avéré d'exécution de code au niveau du noyau — sans intervention de l'utilisateur pour son installation — et sans qu'un redémarrage de l'appareil ne pertube l'intrusion.

Tableau d'honneur et université

Google distingue ensuite certains de ces chercheurs les plus talentueux. Car il y en a de particulièrement productifs. L'un d'entre eux, Aman Pandey, a soumis à lui seul 232 exemples de vulnérabilités dans Android en 2021. Cette mise en avant de Google sert un autre objectif, elle permet à ces personnes de faire valoir leurs compétences et de renforcer leur notoriété.

Google a une approche très différente d'Apple en la matière, ne serait-ce que par la manière dont elle promeut son programme de récompenses et ceux qui y participent. Chez Apple, le programme Security Bounty se limite à présenter son fonctionnement et ses critères ainsi que les récompenses pouvant être attribuées. Y figure également un simple email pour contacter l'équipe de sécurité.

Apple va bonifier son bug bounty pour attirer des chercheurs en sécurité pas très enthousiastes

Apple va bonifier son bug bounty pour attirer des chercheurs en sécurité pas très enthousiastes

Google pour sa part a ouvert en 2021 le portail Bug Hunters afin de regrouper en un seul endroit toutes les soumissions de problèmes de sécurité décelés dans ses logiciels et plateformes et pour simplifier leur déclaration.

Ce portail offre toute une série de conseils et d'exemples pratiques — au travers d'une Bug Hunter University — sur la meilleure manière de soumettre une découverte, pour faciliter sa lecture et sa vérification par les ingénieurs de Google. Des explications sur les raisons qui font que des signalements peuvent être écartés complètent ces instructions.

Cet espace affiche également un tableau d'honneur des chercheurs les plus efficaces dans cette traque. Ils pourront y envoyer leurs clients désireux de vérifier leur statut. Les spécialistes les plus aguerris n'auront peut-être pas besoin de ces informations mais ceux qui se lancent dans ce type de chasse seront pris en main et guidés.

Source
avatar pelipa91 | 

C’est très bien ce que fait Google mais ça me fait me poser une question.
9 millions c’est beaucoup, mais c’est sûrement moins cher que d’avoir un vrai service Cyber Sécu chez eux.
Du coup, s’ils décident de se reposer uniquement sur ça dans le futur, ça signifierai des premières versions trouées de partout.

avatar debione | 

@ pelipa91.

C'est une lapalissade, première version d'un Os et emmental. Quelque soit la plateforme d'ailleurs. Ce qui est rigolo, ou pas, c'est que JAMAIS on accepterait cela ailleurs. C'est sans doute la plus grosse force des boîtes qui pondent des Os: Faire passer pour normal un produit non fini, possiblement dangereux.

J'imagine ma télé, ou je n'aurais pas le son en attendant une mise à jour qui arriverait dans 3 mois, ou mon frigo qui ne serait pas capable d'aller en dessous de 10° en attendant des mises à jours.

Après vu que tout le monde accepte, ces boîtes seraient bien connes d'engager des centaines de testeurs à longueurs d'années qui au final ne ferait que grever le bénéfice sans apporter rien du tout puisque tout le monde accepte.

avatar ys320 | 

@debione

La fameuse version MVP😉

avatar SyMich | 

Contrairement à Apple qui n'a aucune équipe dédiée, Google a des équipes très nombreuses dont le seul objectif est de rechercher des failles. Ces équipes, réputées mondialement, sont d'ailleurs régulièrement celles qui identifient les failles d'iOS.

avatar pelipa91 | 

@SyMich

Je pense aussi (contrairement au commentaire précédent) que l’équipe Google existe.
Pour Apple j’imagine qu’elle existe (quand même), mais elle ne dois pas avoir les mêmes budgets que l’équipe marketing ^^

avatar debione | 

@ pelipa91:
Je dirais qu'à long terme, et au vu de la réputation de chacun, Google à tout intérêt à avoir des équipes dédiés à toutes les plateformes, et à performer sur ce point.
Si dans l'inconscient vient se poser que Google = chasseur de bug et faille, alors que l'on se plaint de justement le nombre de bug des autres boîtes, ils finiront en chevalier blanc.

avatar YetOneOtherGit | 

@SyMich

"Contrairement à Apple qui n'a aucune équipe dédiée"

Effectivement la grosse centaine de profils sécurité travaillant chez Apple que l’on trouve sur Linkedin sont sans doute les videurs de l’Apple Park 🙄🙄🙄🙄

https://www.linkedin.com/search/results/people/?currentCompany=%5B%22162479%22%5D&keywords=apple%20security&position=0&searchId=a98253b4-2c3d-4574-85e9-8bd0f59ec11d&sid=y6_

avatar SyMich | 

Je le répète, Apple n'a aucune équipe dédiée.
Les profils que vous évoquez sont soit intégrés aux équipes de développement (essentiellement sur les OS mais également sur les quelques softwares qu'Apple développe encore), soit se retrouvent au sein de l'équipe de validation des apps de l'AppStore.

Ça n'a rien à voir avec une équipe comme, par exemple, Project 0 chez Google où là on peut vraiment parler de chercheurs en sécurité (et pas de simples "profils sécurité")

avatar YetOneOtherGit | 

@SyMich

"Je le répète, Apple n'a aucune équipe dédiée. "

Encore faudrait-il démontrer qu’une équipe « dédiée» est l’alpha et l’oméga de la sécurité informatique.

Ce qu’il est très loin d’être le cas.

Une tendance forte va d’ailleurs bien plus sur des approches DevSecOps où les enjeux de sécurité sont présents à toutes les étapes d’itérations du cycle de vie d’une production.

avatar SyMich | 

L'alpha et l,Omega je ne sais pas, mais ce qui est largement connu ce sont les défaut d'ingénieurs sécurité intégrés aux équipes de développement. Ils se retrouvent juge et partie, chaque fois qu'ils identifient une faille, un défaut, ils induisent des délais et coûts de développement supplémentaires et donc dégradent les indicateurs de performance de l'équipe.
La conséquence est qu'ils sont moins affûtés. Alors qu'une équipe dédiée, indépendante, cherche les failles, eux ils se contentent de vérifier qu'il n'y en a pas. Ça fait une grosse différence.

avatar YetOneOtherGit | 

@SyMich

"ce qui est largement connu ce sont les défaut d'ingénieurs sécurité intégrés aux équipes de développement"

A bon ? D’où sans doute le succès des approches DevSecOps qui ne cessent de croître 😁

« La conséquence est qu'ils sont moins affûtés. Alors qu'une équipe dédiée, indépendante, cherche les failles, eux ils se contentent de vérifier qu'il n'y en a pas. Ça fait une grosse différence. »

Étrangement la littérature semble aller à l’exacte opposé de ton assertion 🤓

avatar cybercooll | 

@YetOneOtherGit

Les experts en sécurité sont parfois des mauvais dev malins qui ont compris que ça payait bien de dire qu’on fait de la sécurité.
Une petite recherche Google OWASP, un follow des annonces cve sur Twitter et hop tu deviens « expert en sécurité » sur ton cv.
T’apprends 2 ou 3 trucs sur log4j et tu peux même avoir l’air brillant en réunion.

avatar YetOneOtherGit | 

@cybercooll

"Les experts en sécurité sont parfois des mauvais dev"

S’ils sont malin c’est déjà un grand avantage sur la masse de « dev in name only »incapable de faire plus que copier/coller du JS douteux de StackOverFlow 🤓😉

https://images-na.ssl-images-amazon.com/images/S/compressed.photo.goodreads.com/books/1457364208i/29437996.jpg

avatar cybercooll | 

@YetOneOtherGit

La différence entre un bon dev et un mauvais dev, c’est que le bon est capable de trouver la bonne réponse sur stack overflow

avatar YetOneOtherGit | 

@cybercooll

"c’est que le bon est capable de trouver la bonne réponse sur stack overflow"

Et de la comprendre, puis de se l’approprier 😉

Le code Frankenstein avec des morceaux pris deci et delà c’est affolant 😱🤢

avatar fte | 

@YetOneOtherGit

"Le code Frankenstein avec des morceaux pris deci et delà c’est affolant 😱🤢"

C’est pourtant la norme. Car à part un appareil entièrement développé en interne et doté d’un microcontrôleur sans noyau ou OS - de qui devient rare également -, tout logiciel est un assemblage de briques diverses, ou dépendant de briques tierces.

avatar YetOneOtherGit | 

@fte

"C’est pourtant la norme."

Tu me chambres ou tu as mal interprété mon propos?

Je parle d’un code fait de copier/ coller de choses éparses non comprises 😉

Nullement de l’usage de librairie, frameworks… bien évidemment 🤓

avatar fte | 

@YetOneOtherGit

"Tu me chambres ou tu as mal interprété mon propos?"

Un peu du premier, pour chahuter ton interprétation qui est très spécifique et pas forcément pertinente.

"Je parle d’un code fait de copier/ coller de choses éparses non comprises 😉
Nullement de l’usage de librairie, frameworks… bien évidemment 🤓"

J’avais compris :)

Ce que je voulais dire, c’est qu’à part l’échelle et peut-être la localisation en mémoire, ce n’est pas différent. Ou en tout cas la différence n’est pas pertinente. En termes d’exécution du programme, c’est de toute manière en majorité un joyeux bordel de mélange entre code codé soi-meme et codes venant d’ailleurs.

C’est ce que je dis : la différence entre des librairies / OS et du copié - collé dans son code n’est pas pertinente pour distinguer les horreurs.

avatar YetOneOtherGit | 

@fte

"Ce que je voulais dire, c’est qu’à part l’échelle et peut-être la localisation en mémoire, ce n’est pas différent. Ou en tout cas la différence n’est pas pertinente. En termes d’exécution du programme, c’est de toute manière en majorité un joyeux bordel de mélange entre code codé soi-meme et codes venant d’ailleurs."

Tu oublies un peu vite les enjeux de maintenance et de pérennité 😉

Je parle spécifiquement du type de base de code qu’on rencontre souvent sur les technologies Web/Internet en Back mais tout particulièrement en Front : une accumulation de choses dans des styles de programmation divers agrégé sans comprendre les tenants et les aboutissants, absolument inmaintenable.

Le genre de truc qui donne la nausée en code review et font exploser le nombre de WTF/min 😉

J’aime les belles librairies, les beaux Frameworks et les langages de programmation très expressifs de haut niveau 🥰Là n’est pas le souci.

Et j’aime lire le code des beaux Frameworks et des belles librairies 😜🤓

avatar YetOneOtherGit | 

@SyMich

"Ça n'a rien à voir avec une équipe comme, par exemple, Project 0 chez Google où là on peut vraiment parler de chercheurs en sécurité (et pas de simples "profils sécurité")"

Approches différentes signifie-t-il approche supérieur ?

Android offrirait une meilleure expérience en terme de sécurité qu’iOS grâce à ces super-héros de la sécurité ?

Toujours se méfier des effets d’annonces et des effets de manches.

avatar debione | 

@ YetOneOtherGit:

Une chose est sur, c'est que les "profil de sécurité" de chez Apple ne découvrent pas grand chose chez la concurrence ;)
Sinon, le chiffre que vous évoquez "une centaine de profils sécurité" me parait bien peu... Je connais deux trois boîtes de développement Software, ils tournent autour de 10% des ingénieurs dévolu à la sécurité/test.

"Android offrirait une meilleure expérience en terme de sécurité qu’iOS grâce à ces super-héros de la sécurité ?"
Non mais iOS si. Sans ces gens que vous prenez de haut en les traitant de "super-héros" iOs et macOs serait bien plus des passoires.

Toujours se méfier de la méfiance de YetOneOtherGit.... ;) :)

avatar YetOneOtherGit | 

@debione

"Sans ces gens que vous prenez de haut en les traitant de "super-héros" iOs et macOs serait bien plus des passoires."

Je ne les prends nullement de haut, je relativise juste la portée de ce type d’approche que certains ici semblent prendre pour une panacée 😎

avatar debione | 

@ YetOneOtherGit:

Je croyais que le relativisme vous sortait par les trous de nez et était une tare. Et, si, vous les prenez de haut, dans votre prose, il suffisait d'écrire "ces chercheurs en sécurité, ou la cellule de recherche en sécurité de Google". Le terme super héros n'était la que pour amoindrir, faire passer pour des débiles profond.

Et heureusement qu'il le prennent pour une panacée, car si Google n'avait pas ce type d'approche, iOS et MacOS serait bien plus vulnérable, vous rêvez vous de sécurité moindre sous le prétexte Applelien que tant que cela se vend alors on est dans le juste?

avatar YetOneOtherGit | 

@debione

"Je croyais que le relativisme vous sortait par les trous de nez et était une tare."

Le relativisme face à des vérités factuelles ou scientifiques indiscutables mon cher disciple de SCHOPENHAUER. 😉

avatar YetOneOtherGit | 

@debione

"Toujours se méfier de la méfiance de YetOneOtherGit.... ;) :)"

Et portant 😄

Mais effectivement les positions radicales caricaturales sont effectivement bien plus à la mode que la mesure.

Prétendre que les enjeux de sécurité sont en jachère chez ceux qui n’ont pas la stratégie de Google est une vision très réductrice des complexes enjeux de cyber-sécurité.

Il est peut-être plus intéressant de voir par plateforme le niveau annuel de pb de sécurité graves et là étrangement un Apple qui ne ferait pas ce qu’il faudrait faire d’après les spécialistes auto-proclamés s’en tire bien mieux que d’autres acteurs 😎

Étonnant, non ? 😄

avatar debione | 

@ YetOneOtherGit:

On fait la même sans l'aide de Google? Si Apple semble s'en sortir mieux, ils le doivent aussi à Google, parce que les maigrichonnes récompense d'Apple (voire même quand ils n'envoie pas bouler les découvreur (pas même une mention rien)) ne sont de loin pas suffisante.

Après Google à un intérêt certain à trouver ces failles, car ils agissent (comme microsoft) en crossplateform, la ou Apple est mono, et une fois capté les liens sont tellement fort que l'on est capable d'encaisser des iOS 11 (ou plein d'autres trucs, jamais eu un système autant buggy de ma vie que celui-là... Ha si peut-être win95) sans se poser la question d'aller voir ailleurs. Apple a quand même une tendance à tirer la réflexion des utilisateurs vers le bas, j'en connais un morceau, j'ai une majorité d'appareil Apple à la maison.

avatar YetOneOtherGit | 

@debione

"On fait la même sans l'aide de Google?"

Là encore il faut grandement relativiser cet apport qui tient aussi de la communication bien pensée.

avatar fte | 

@SyMich

"Contrairement à Apple qui n'a aucune équipe dédiée"

Ah bon ? Et d’où le sais-tu ?

avatar en chanson | 

@pelipa91

Apple lui continue à tarder à combler les failles et rétribue mal

avatar fte | 

Merci Google. Continuez !

CONNEXION UTILISATEUR