L’entreprise a donné une somme confidentielle à l’étudiant pour avoir trouvé une faille informatique. Il l’a reversée à une organisation caritative.
Pour acheter le nom de domaine google.com, Sanmay Ved n’a eu qu’à payer 12 dollars. Il a tiré parti, par hasard, d’une faille de la plateforme d’achat … de Google. Plutôt que de condamner son action, l’entreprise, qui est aussi l’ancien employeur de Sanmay Ved, a décidé de récompenser son action avec une coquette somme d’argent, rapporte Business Insider.
Le montant exact de la récompense n’a pas été dévoilé, mais il est probablement de plusieurs milliers de dollars, au vu des habitudes de Google en la matière. Sanmay Ved a néanmoins décidé de reverser ces fonds à une œuvre caritative, Art of Living India Foundation, qui gère des écoles gratuites en Inde. Google a donc, comme le prévoit sa politique, doublé la récompense.
Dans les entreprises technologiques, récompenser des particuliers qui ont détecté des bugs est une pratique courante. Les petites start-up, près de leurs sous, mettent le nom des chasseurs de failles dans une page dédiée.
Les grandes entreprises, à l’exception d’Apple et Amazon qui sont quelque peu avares, préfèrent donner des billets verts. En 2014, Facebook a déboursé 1,3 million de dollars pour récompenser les chercheurs en sécurité qui ont réussi à trouver des bugs. Microsoft, de son côté, offre jusqu’à 100.000 dollars aux particuliers qui parviennent à exploiter des failles de sécurité dans son système d’exploitation. «La meilleure chose que nous ayons fait pour la sécurité de Facebook est d’avoir mis en place un programme de récompense», affirmait en octobre dernier Sheryl Sandberg, la numéro 2 de Facebook.
Un marché gris de la faille informatique
Ces chasses au trésor visent à accélérer le processus de sécurisation des applications. Si un chercheur «honnête» est motivé par la récompense et dévoile une faille auprès de l’entreprise qui en est responsable, cela permet de la corriger avant qu’un pirate «malhonnête» mette la main dessus. Les failles de sécurité importantes, appelées failles «zero-day», sont très prisées des entreprises, des organisations criminelles comme des gouvernements.
Des entreprises tierces, qui font partie d’un marché gris de la faille informatique, font aussi miroiter des sommes colossales pour être les premiers à découvrir une faille informatique. En septembre, Zerodium a promis un million de dollars au chercheur qui découvrirait une faille dans iOS 9, le nouveau système d’exploitation mobile d’Apple. Cette pratique est très controversée. Parmi les clients de Zerodium se trouvent des gouvernements qui pourraient exploiter ces failles «zero-day» à des fins d’espionnage.
