Google met fin à son programme de récompense pour la découverte de bugs. Comme l’a rapporté Android Authority, la société met un terme au Google Play Security Reward Program le 31 août. Google examinera tous les rapports soumis avant cette date jusqu’au 15 septembre et mettra officiellement fin à ses récompenses financières le 30 septembre.
Cette décision intervient presque sept ans après que Google ait initialement lancé le Google Play Security Reward Program. En 2017, la société avait annoncé ce programme pour offrir aux chercheurs en sécurité un incitatif à chercher des bugs et des vulnérabilités dans les applications Android. Ces chercheurs pouvaient ensuite partager leurs découvertes avec les développeurs des applications, afin qu’ils puissent corriger les failles de sécurité aussi rapidement que possible.
Cette idée n’est pas exclusive à Google : De nombreuses entreprises offrent des récompenses financières aux hackers éthiques pour découvrir et signaler des vulnérabilités, grandes ou petites. Aucune entreprise ne peut détecter tous les bugs seule, d’où l’idée de sous-traiter une partie de ce travail à des individus talentueux qui pourraient remarquer quelque chose que l’entreprise ne voit pas. Dans le cas de Google, leur Play Store compte des millions d’applications, donc des yeux supplémentaires sont efficaces.
Le programme a grandi pour offrir une gamme de récompenses financières selon la vulnérabilité : Google versait aussi peu que 500 $ pour un rapport sur une faille qui permettrait à un hacker de s’introduire s’il était sur le même réseau qu’un utilisateur, jusqu’à 20 000 $ pour une vulnérabilité qui permettrait à un hacker d’attaquer des utilisateurs à distance en utilisant l’exécution de code arbitraire.
Google déclare qu’il met fin au programme car il y a eu “moins de vulnérabilités exploitables signalées par la communauté de recherche”, ce que la société attribue à une augmentation des mesures de sécurité intégrées à Android. Si cela est vrai, c’est certainement une bonne nouvelle : toute augmentation des politiques de sécurité de Google est positive, et s’ils se sentent suffisamment confiants dans leurs capacités pour éliminer l’assistance des tiers, c’est peut-être bon signe. Google affirme qu’ils ont pu utiliser les données de vulnérabilité de ces rapports pour créer des systèmes automatisés qui recherchent ces problèmes dans les applications sans intervention manuelle.
Mais il s’agit de Google. La société n’a pas toujours eu à l’esprit la confidentialité et la sécurité des utilisateurs dans chaque décision commerciale. Même en ignorant cela, cela semble un peu risqué. Il y a un grand nombre d’applications sur le Play Store, et beaucoup de ces développeurs n’ont probablement pas leurs propres systèmes en place pour surveiller les bugs. Les petits développeurs peuvent ne pas détecter une sérieuse vulnérabilité de sécurité par eux-mêmes, et si les systèmes de Google ne la détectent pas, cela pourrait affecter les utilisateurs.
Et il ne s’agit pas seulement d’applications légitimes avec des failles de sécurité dont il faut se méfier : des applications malveillantes sont découvertes sur le Play Store tout le temps. En mai dernier, nous avons rapporté un groupe de 90 applications malveillantes qui avaient été installées collectivement 5,5 millions de fois. Et cela, alors que ce programme était en pleine vigueur. Espérons que les protocoles de sécurité de Google sont à la hauteur, mais il est regrettable de se passer de hackers éthiques qui pourraient traquer ces failles de sécurité exactes.
Comment se protéger à l’avenir
Il est maintenant plus important que jamais d’être prudent lors du téléchargement d’applications depuis le Play Store sur Android.
Avant de télécharger une application, examinez attentivement la page : le texte contient-il des erreurs de grammaire et d’orthographe ? Les images sont-elles de mauvaise qualité ou semblent-elles sans rapport avec ce que l’application propose ? Les avis semblent-ils avoir été écrits pour n’importe quelle application générique, plutôt que pour le programme spécifique que vous examinez ? Ce sont tous des signes d’une application malveillante, et vous devriez éviter ces applications.
Mais gardez également un œil sur d’autres aspects : consultez le rapport de confidentialité et évaluez quelles autorisations l’application va vous demander. Même si l’application est légitime, si elle requiert trop de données de votre part, cela représente un risque si l’application est jamais compromise. (Il n’y a également aucune raison pour que beaucoup de ces applications aient besoin d’informations aussi personnelles, comme vos contacts ou votre localisation.)
Surtout, n’oubliez pas de maintenir vos applications à jour régulièrement. S’il y a des vulnérabilités découvertes, les développeurs corrigent et mettent à jour leurs applications. Pour vérifier régulièrement vos mises à jour, ouvrez le Play Store, appuyez sur votre photo de profil en haut à droite, choisissez Gérer les applications et l’appareil, puis Gérer. Ensuite, mettez à jour les applications pour lesquelles des mises à jour sont disponibles.
