AccueilActualités informatiqueGoogle paie une prime pour avoir exploité des failles déjà fermées

Google paie une prime pour avoir exploité des failles déjà fermées

Défi inhabituel : L’exploitation réussie de failles de sécurité déjà fermées dans le noyau Linux rapporte beaucoup d’argent à Google au cours des trois prochains mois. La société veut payer les pirates informatiques 31 337 dollars américains. Avec cette approche, Google veut apparemment tester la qualité des correctifs de sécurité.

Pour ce faire, les participants à un environnement Kubernetes durci doivent étendre leurs droits en fonction des lacunes qui ont été effectivement corrigées, voire sortir de l’environnement du conteneur et exploiter les données d’autres conteneurs. Pour prouver que le piratage est réussi, Google exige que les attaquants lisent une zone de mémoire et transmettent les données secrètes qu’elle contient – ce qui est appelé de manière ludique « capture the flag ».

L’entreprise souhaite même porter le montant à 50 337 dollars américains si les pirates utilisent des failles zero-day inconnues ou empruntent des chemins d’attaque jusqu’alors inconnus ; ici, Google réserve toutefois sa propre évaluation du facteur de nouveauté. Pour les lacunes qui touchent également Android, le fabricant a également prévu des fonds supplémentaires dans le cadre du programme Android Bughunter.

Kubernetes est un orchestrateur de conteneurs dans lequel les applications ou les services, ainsi que leurs dépendances, sont encapsulés par rapport aux autres applications et au système d’exploitation hôte à l’aide de techniques de noyau, de sorte que les conteneurs ne s’influencent pas mutuellement. Kubernetes a été développé par Google, publié en tant que projet open source en 2014 et hébergé par la Cloud Native Computing Foundation (CNCF). Depuis lors, il est devenu la norme industrielle pour la gestion des conteneurs à grande échelle.

Les applications conteneurisées sont relativement faciles à lancer et à déployer sur d’autres systèmes. Étant donné que Google fournit Kubernetes dans son Google Cloud pour ses clients, l’entreprise a tout intérêt à rendre le logiciel aussi sûr que possible – ce à quoi ce programme de primes aux bugs peut certainement contribuer.

Voir aussi :

  • Article du blog de Google sur le programme actuel de primes aux bugs

Plus d'articles