Android : Google veut former une nouvelle équipe de sécurité dédiée aux applications sensibles
Image : Mika Baumeister.
Google recrute pour créer une équipe spéciale de sécurité Android qui sera chargée de trouver les vulnérabilités des applications très sensibles de la boutique Google Play.
Une nouvelle équipe qui se concentrera sur les applications sensibles
« En tant que responsable de l’ingénierie de la sécurité pour Android Security […], votre équipe procédera à des évaluations de la sécurité d’applications Android tierces très sensibles, afin d’identifier les vulnérabilités et de fournir des conseils aux développeurs d’applications concernés pour qu’ils les corrigent », peut-on lire dans une nouvelle offre d’emploi Google publiée mercredi.
Les applications sur lesquelles cette nouvelle équipe se concentrera comprennent les applications de contact tracing pour la Covid-19, ou encore celles liées aux élections. Et d’autres suivront, selon Sebastian Porst, directeur du génie logiciel de Google Play Protect.
La nouvelle équipe complétera le travail des chercheurs indépendants en sécurité qui opèrent dans le cadre du programme de récompense Google Play Security (GPSRP).
GPSRP
Le GPSRP est le programme de bug bounty pour les applications Android du Play Store. Google récupère les rapports de vulnérabilités des chercheurs en sécurité et les paie au nom des propriétaires d’applications. Cependant, ce programme est seulement limité aux applications qui ont plus de 100 millions d’utilisateurs.
Les applications qui manipulent des données sensibles ou effectuent des tâches critiques ne sont pas toujours éligibles aux récompenses du GPSRP, et sont donc moins susceptibles d’être testées en masse par les chasseurs de bogues.
« C’est clairement une bonne chose », déclarait vendredi à ZDNet Lukáš Štefanko, analyste de malwares sur mobile, de la société de sécurité slovaque ESET, lorsqu’on lui a demandé de décrire les derniers efforts de Google. « Trouver des problèmes de sécurité avec un impact sérieux n’est pas si facile, et demande beaucoup de temps et d’expérience », ajoutait-il.
La création de cette équipe dédiée montre la volonté de Google de garantir que tous les efforts sont faits, et que certains des talents les plus expérimentés au monde se pencheront sur l’examen de ces applications, dont les failles de sécurité auraient pu sinon passer inaperçues et avoir de lourdes conséquences.
Source : ZDNet.com
