Google fait monter les enchères et paiera jusqu'à 1,5 million si vous piratez les Pixel

Benoît Théry
Publié le 25 novembre 2019 à 07h57
pixel4_une.jpg

Google semble soucieux de garantir la sécurité de sa gamme Pixel. Six semaines après que ses appareils ont été concernés par une faille zero day, le géant américain a lancé une nouvelle campagne de récompense.

L'enseigne affirme être prête à payer jusqu'à 1,5 million de dollars pour chaque nouvelle faille repérée sur la Titan M, la puce de sécurité équipant ses Pixel.

Récompense hors normes

Ce bug bounty, qui a démarré le 21 novembre, a été annoncé sur le blog de Google. Il comprend deux volets. D'une part, Google accepte de payer jusqu'à un million de dollars pour « l'exécution complète, à distance et avec persistance d'un code pouvant compromettre l'élément de sécurité Titan M sur les appareils Pixel ». D'autre part, il accepte également de verser 500 000 dollars pour la démonstration d'un code capable d'extraire des données d'un appareil Pixel ou d'outrepasser son écran de verrouillage.

Les failles répondant à toutes ces conditions rapporteront donc jusqu'à 1,5 million de dollars. Google est prêt à majorer la récompense de 50 % si la faille révélée permet également de contourner les sécurités de la Titan M sur l'une des anciennes versions Developer Preview d'Android.

Ce sont des sommes importantes pour Google, qui rappelle qu'en 2019, la récompense la plus importante versée dans le cadre d'un bug bounty s'est élevée à 161 337 dollars. Depuis que le programme de récompenses de sécurité Android a été lancé il y a quatre ans, Google a versé plus de 4 millions de dollars pour la détection de plus de 1 800 failles.

La Titan M à l'épreuve

Tout repose sur la Titan M, une puce que Google a présentée il y a un an, avec la sortie du Pixel 3. Pour Ars Technica, elle est semblable à la Secure Enclave d'Apple dans la mesure où elle est physiquement isolée du processeur principal de l'appareil.

La Titan M a quatre fonctions principales. Elle doit stocker la dernière version stable d'Android afin que l'appareil ne puisse pas lancer une version modifiée au démarrage. Elle doit également contrôler la saisie du mot de passe et le déverrouillage de l'écran, limitant le nombre de tentatives de connexion. Elle stocke des clés privées utilisées par les applications sensibles, notamment celles servant à payer. Enfin, la Titan M doit empêcher les changements du firmware Android, à moins que le mot de passe de l'appareil n'ait été entré.

Source : Ars Technica

Le Black Friday c'est parti ! Retrouvez les meilleurs bons plans et promos avec Clubic.

Les bons plans Black Friday

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !
Commentaires (0)
Rejoignez la communauté Clubic
Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.
Abonnez-vous à notre newsletter !

Recevez un résumé quotidien de l'actu technologique.

Désinscrivez-vous via le lien de désinscription présent sur nos newsletters ou écrivez à : [email protected]. en savoir plus sur le traitement de données personnelles