Google emboîte le pas à Apple et propose désormais une récompense à ceux qui parviendraient à prendre le contrôle de l’un de ses smartphones à distance. Cette initiative s’inscrit dans la course constatée aujourd’hui entre les géants de la tech.

L’offre, d’une valeur d’un million de dollars (tout comme celle d’Apple), a été dévoilée ce jeudi et vaut pour toute personne capable d’effectuer une attaque unique sur un appareil Pixel 3 ou Pixel 4, à condition qu’un accès permanent au smartphone soit dès lors possible. Pour toucher la récompense, il faudra réussir à contourner la puce Titan M de Google, son « élément de sécurité ». À l’image du composant Secure Element sur iPhone, Titan M est une puce de sécurité qui agit en tant que gardien des données de l’appareil. La puce peut par exemple détecter les hackers qui tenteraient d’installer un logiciel malveillant sur un appareil Android lorsque celui-ci est allumé, ou encore sécuriser les mots de passe du smartphone.

Google offre également jusqu’à 1,5 million de dollars pour les exploits trouvés dans les versions de prévisualisation des développeurs d’Android. Pour les piratages réussis de ces versions, les récompenses seront additionnées d’un bonus de 50 %. Apple avait annoncé une initiative similaire en août dernier. Jessica Lin, de l’équipe de sécurité Android, explique : « Puisqu’Android Q vient de sortir, nous allons le déployer sur une sélection de prévisualisation des développeurs pour la prochaine version d’Android ».

Des récompenses jusqu’à 500 000 $ sont également proposées pour des attaques spécifiques qui permettraient de dérober des données et de contourner des écrans de verrouillage. Les hackers bienveillants peuvent savoir combien ils pourraient gagner grâce à aux règles du programme Android Security Rewards de Google. Encore une fois, ceci se limite aux téléphones Pixel utilisant la dernière version d’Android.

Le programme a été enclenché ce jeudi, mais tous ceux qui avaient déjà constaté des bugs et les avaient signalés ne sont pas concernés : Google n’offrira les plus grosses sommes que pour les éléments divulgués à partir du 21 novembre.

Les plus grandes entreprises de tech du monde entier proposent aujourd’hui des récompenses à ceux qui pourront les aider à améliorer le système de sécurité sur leurs appareils. Google affirme avoir distribué 1,5 million de dollars à des spécialistes ces 12 derniers mois. Sa donation individuelle la plus importante revient à Guang Gong, qui a reçu 161 337 $ du programme Android Security Rewards et 40 000 $ de l’initiative Chrome Rewards, pour un total de 201 337 $ grâce à son piratage instantané d’un appareil Pixel 3.

Plus tôt cette semaine, Forbes avait parlé de la prime Huawei, qui avait brièvement surpassé Google en offrant 220 000 $ pour un piratage à distance de ses nombreux appareils Android. Le montant offert par Google s’élevait auparavant à 200 000 $.

Google n’a pas justifié l’augmentation massive de ses récompenses. Interrogé à ce sujet, Scott Westover, responsable de la sécurité et de la confidentialité chez Android, a répondu à Forbes : « Nous pensons que le programme Android Security Rewards s’est révélé être un énorme avantage pour la communauté, nous voulons donc continuer à encourager les meilleurs spécialistes du monde à participer ».

La récente annonce similaire d’Apple semble avoir été une source de motivation, mais le marché de l’exploitation privée, de plus en plus lucratif, sur lequel des millions de personnes se proposent pour des piratages isolés, pourrait également convaincre des participants. Il n’est pas rare dans le secteur de payer des particuliers plutôt que des professionnels de la technologie, qui vendent leurs découvertes à des clients, bien souvent des gouvernements.

Les attaques pourraient être réitérées à des fins militaires ou de renseignement, ou même pour des mesures défensives. Mais comme les organismes de protection des droits numériques l’ont souligné à maintes reprises, si les fournisseurs ne sont pas tenus au courant, il ne peuvent pas proposer de correctif, rendant ainsi vulnérables des milliards d’utilisateurs.

Baptiste Robert, chercheur en cybersécurité, a confié à Forbes que même si certains hackers continueraient sans doute à vendre leurs informations aux gouvernements et à leurs contractuels, l’annonce de Google a envoyé un « signal très positif pour la sécurité de l’information et la sécurité en général ».