Project Zero Prize se solde par un bide
mer, 05/04/2017 - 10:36
En septembre 2016, Google annonçait Project Zero Prize, un bug bounty destiné à identifier des vulnérabilités permettant des exploits à distance sur Android. Avec jusqu'à 200 000 de récompenses à la clé.
Google vient de mettre fin à Project Zero Prize de façon plutôt piteuse. Mountain View n'a reçu aucune soumission de bugs, seulement du spam et des choses qui n'ont rien à voir avec les règles de Project Zero Price. Aucune récompe,se n'a été décernée.
Ce qui ne veut absolument pas dire qu'il n'y a pas de vulnérabilités dans Android. Google, analysant ce bide, a fait son autocritique, pour conclure que peut-être le montant des primes n'était pas suffisant pour motiver les troupes, mais surtout que la règle particulière qui voulait que seule la première personne à reporter un bug précis était éligible pour une récompense a été un frein, et que beaucoup de chercheurs ont sans doute préféré soumettre leur découvertes de bugs dans des bug bounties moins bien récompensés, mais qui autorisent les interactions entre chercheurs.