Le géant informatique sera encore plus généreux envers les hackers qui arrivent à pirater les smartphones Android, dans le cadre de son programme de récompenses.
Google augmente considérablement les primes de son programme Bug Bounty pour Android. Jusqu’à présent, les récompenses pouvaient aller jusqu’à 200 000 dollars. Désormais, les hackers peuvent repartir avec un million de dollars s’ils réussissent à pirater la puce de sécurité Titan M que Google embarque désormais dans ses terminaux Pixel.
Ce pactole pourrait même aller jusqu’à 1,5 million de dollars, car le géant information proposera désormais un bonus de 50 % pour des attaques trouvées sur certaines versions bêta d’Android (Developer Preview).
De nouvelles catégories de récompenses
Mais on peut aussi devenir riche sans se casser les dents sur la puce Titan M. Google augmente également ses barèmes sur les catégories de failles existantes. Ainsi, faire tourner du code dans une zone d’exécution sécurisée permet désormais de gagner 250 000 dollars, contre 200 000 auparavant. Et la prime d’une attaque sur le kernel passe de 150 000 à 250 000 dollars. Google ajoute par ailleurs deux nouvelles catégories : les fuites de données et les contournements de l’écran de verrouillage. Leurs primes peuvent aller respectivement jusqu’à 500 000 et 100 000 dollars.
C’est en 2015 que Google a lancé le programme Android Security Rewards (ASR) pour récompenser les chercheurs qui détectent et signalent des problèmes de sécurité afin de préserver la sécurité de l’écosystème Android. Au cours des quatre dernières années, l’éditeur a attribué plus de 1800 rapports et versé plus de quatre millions de dollars.
Mais la filiale d’Alphabet fait monter les enchères et introduit dans la liste des récompenses pécuniaires un lot de 1 million de dollars pour un exploit de chaîne complet avec persistance d’exécution de code à distance qui compromet l’élément sécurisé Titan M sur les appareils Pixel. En outre, Google va lancer un programme spécifique offrant un bonus de 50 % pour les exploits trouvés sur des préversions Android spécifiques aux développeurs, ce qui signifie que le premier prix de l’ASR est désormais de 1,5 million de dollars.
Outre les exploits impliquant Pixel Titan M, Google a ajouté d’autres catégories d’exploits au programme de récompenses, tels que ceux impliquant l’exfiltration de données et le contournement de l’écran de verrouillage. Ces récompenses peuvent atteindre 500 000 dollars selon la catégorie d’exploit.
Le gros gain de récompense coïncide avec les investissements que Google a consacrés à la sécurisation du Pixel. Le Titan M est une puce conçue par Google qui est séparée physiquement du jeu de puces principal de l’appareil. À bien des égards, cela ressemble à Secure Enclave dans les iPhone ou à TrustZone dans les appareils dotés d’un processeur Arm. Le Titan M est une version mobile de la puce Titan introduite par Google en 2017.
Le Titan M exerce quatre fonctions principales, à savoir :
- stocker la dernière version sûre d’Android connue pour s’assurer que les pirates ne peuvent pas obliger le bootloader (programme validant et chargeant Android lorsque le téléphone s’allume) à appeler une version malveillante ou obsolète du système d’exploitation ;
- vérification du mot de passe ou du modèle de l’écran de verrouillage, en limitant le nombre de tentatives de connexion infructueuses pouvant être effectuées et en sécurisant la clé de chiffrement du disque de l’appareil ;
- stockage de clés privées et sécurisation des opérations sensibles d’applications tierces, telles que celles utilisées pour effectuer des paiements ;
- empêcher toute modification du micrologiciel à moins de saisir un code ou un modèle.
Titan M a été introduit pour la première fois en 2018 avec le lancement du Pixel 3. Il fait également partie du récent Pixel 3a et fera également partie du prochain Pixel 4. Les modèles Pixel 2 s’appuient sur un modèle moins robuste module de sécurité matériel dédié. Les exploits divulgués le mois dernier ont été en mesure d’exécuter à distance un code malveillant sur un éventail de téléphones Android, notamment les Pixel 1, Pixel 1 XL, Pixel 2 et Pixel 2 XL, mais pas le Pixel 3. Cependant, le Titan M n’a pas été l’outil qui a empêché les attaques sur le Pixel 3. La raison en était que les Pixels 3 et 3a avaient reçu des correctifs Linux que les Pixels vulnérables n’avaient pas.
Au cours des quatre années écoulées depuis le lancement du programme Android Security Rewards, plus de 1800 rapports ont rapporté plus de 4 millions de dollars. Plus de 1,5 million de dollars ont été payés au cours des 12 derniers mois. Plus de 100 chercheurs participants ont reçu une récompense moyenne supérieure à 3 800 $ par découverte (augmentation de 46 % par rapport à l’année dernière). En moyenne, cela signifie que Google a déboursé plus de 15 000 $ (augmentation de 20% par rapport à l’année dernière) par chercheur ! La récompense maximale versée en 2019 était de 161 337 $, qui a été payée à Guang Gong de Alpha Lab de Qihoo 360 Technology pour une chaîne d’exploitation d’exécution de code à distance en un clic sur un Pixel 3. Il a également obtenu une récompense supplémentaire du programme Chrome Rewards qui s’élevait à 40 000 $ pour un total de 201 337 $. La récompense combinée de 201 337 $ est également la récompense la plus élevée pour une seule chaîne d’exploitation parmi tous les programmes Google VRP. Les vulnérabilités de Chrome utilisées dans ce rapport ont été corrigées dans Chrome 77.0.3865.75 et ont été publiées en septembre, protégeant ainsi les utilisateurs contre cette chaîne d’exploit.
Les nouvelles récompenses arrivent près de trois mois après que le courtier tiers en exploitation Zerodium ait commencé à payer 2,5 millions de dollars pour des exploits zero-day capables de compromettre Android, soit une prime de 25 % par rapport aux exploits comparables pour iOS.