Dans le cadre de son concours de hacking Pwnium 3 doté de 3,14 millions de dollars, Google récompense un chercheur en sécurité à hauteur de 40 000 dollars pour un exploit partiel de Chrome OS.
Pour la troisième édition du Pwnium centrée sur Chrome OS, les défenses du système d'exploitation ont tenu dans la mesure où Google a mis un terme au concours de hacking sans enregistrer un gagnant.
Google avait doté ce concours de 3,14 million de dollars. La cible était un modèle Wi-Fi du Chromebook Samsung Series 5 500 équipé de la dernière version stable de Chrome OS qui est à base Linux et tire parti du navigateur Google Chrome.
Pour une compromission au niveau système ou navigateur en mode invité ou en tant qu'utilisateur connecté via une page Web, Google était prêt à débourser 110 000 dollars. Une récompense qui passait à 150 000 dollars pour une compromission durable - après redémarrage - via une page Web.
Lors du Pwnium 3, un seul participant à soumis un exploit. Deux autres chercheurs en sécurité ont travaillé sur des exploits mais aucun d'entre eux n'a fait une proposition.
L'exploit soumis par Pinkie Pie n'a été que partiel et lui a finalement valu une récompense de 40 000 dollars. Il a proposé une " plausible " collection de bugs ( ou bug chain ) impliquant l'analyse vidéo, un bug dans le noyau Linux et une erreur de fichier de configuration.
Le concours a eu lieu le 8 mars et Google a corrigé la semaine dernière les vulnérabilités découvertes par Pinkie Pie. Présenté comme adolescent, ce hacker conserve l'anonymat en utilisant pour pseudonyme un personnage de la série d'animation " Mon petit poney ".
C'est une vieille connaissance de Google. Pour les deux premières éditions du Pwnium consacrées à Google Chrome, il avait déjà empoché 120 000 dollars ( 60 000 $ en mars 2012 et 60 000 $ en octobre 2012 ). Il avait exprimé le souhait de conserver l'anonymat car n'étant pas autorisé par son employeur à participer au concours.
Google a salué l'éthique de Pinkie Pie lors du Pwnium 3 :
" Nous tenons à remercier Pinkie Pie qui a honoré l'esprit de la compétition en divulguant un exploit partiel à la date limite, plutôt que de garder les bugs pour un exploit de bout-en-bout. Cela signifie que nous pouvons trouver des correctifs plus tôt, cibler le renforcement de mesures et préserver la sécurité des utilisateurs. "
Lors du Pwn2Own qui s'est déroulé quelques heures avant le Pwnium 3 ( tous deux en marge de la conférence de sécurité CanSecWest ), des vulnérabilités dans Google Chrome ont également été identifiées et rapidement corrigées.
Avec les concours et son programme de rétribution pour le rapport de bugs de sécurité dans Chrome ( Chrome sur le bureau, mobile et composants de Chrome OS ), Google précise avoir distribué plus de 900 000 dollars et se dit impatient de donner encore plus.
Par Nabil Chaibi