Google subventionne la recherche de vulnérabilités dans les moteurs JavaScript des navigateurs

Google subventionne la recherche de vulnérabilités dans les moteurs JavaScript des navigateurs

Google a mis en place un fonds de recherche pour aider et parrainer les chercheurs et les universitaires spécialisés dans la sécurité à trouver des vulnérabilités dans les moteurs JavaScript des navigateurs. Le programme a une règle, à savoir que les bugs doivent être identifiés en utilisant la technique de détection des vulnérabilités “fuzzing”.

Fuzzing, ou test fuzz, est une technique d’identification des vulnérabilités qui consiste à tester les réactions du logiciel en lui envoyant des données plus ou moins aléatoires afin de tester son comportement dans des cas inhabituels.

Cette technique est largement utilisée au sein des grandes entreprises technologiques, mais rarement par les chercheurs en sécurité travaillant seuls, car le floutage est coûteux en termes de calcul et nécessite généralement l’accès à de vastes et coûteuses ressources de cloud computing.

publicité

Jusqu’à 5 000 dollars de financement

Les chercheurs en sécurité qui travaillent seuls ne sont généralement pas payés avant plusieurs mois après avoir déposé une faille de sécurité sur les plateformes publiques de bug bounty, et les paiements ne sont pas toujours garantis pour couvrir les coûts initiaux de location de ressources informatiques en cloud pour effectuer des opérations de brouillage à grande échelle.

Dans un article de blog publié jeudi, Google explique avoir créé ce programme de subvention de recherche pour résoudre ce problème particulier. Grâce à ce nouveau programme pilote, les chercheurs et les universitaires spécialisés dans la sécurité peuvent demander des fonds qu’ils pourront utiliser pour le fuzzing du moteur JavaScript du navigateur de leur choix.

Google affirme qu’il analysera chaque demande et fournira une réponse à tous les candidats dans un délai de deux semaines. Les projets approuvés peuvent recevoir jusqu’à 5 000 dollars de financement. Les fonds seront fournis sous forme de crédit pour Google Compute Engine, l’infrastructure informatique lourde de Google Cloud, afin d’éviter que les fonds ne soient détournés.

Outil open source déjà disponible

Il s’agit d’un programme pilote unique qui ne se déroulera que du 1er octobre 2020 au 1er octobre 2021. Le programme a été baptisé “Fuzzilli Research Grant” en l’honneur de l’outil open source de Google Fuzzilli, qui prend en charge le fuzzing distribué sur GCE et que Google encourage les chercheurs à utiliser.

Google ajoute que toutes les failles de sécurité identifiées au cours du programme pilote doivent être signalées aux fournisseurs concernés. Les chercheurs peuvent conserver des primes supplémentaires pour les vulnérabilités qu’ils trouvent pendant le programme pilote. Les moteurs JavaScript de navigateur éligibles comprennent JavaScriptCore (Safari), V8 (Chrome, Edge) et Spidermonkey (Firefox), mais les chercheurs en sécurité peuvent proposer d’autres moteurs dans leurs propositions.

Les moteurs JavaScript sont une partie intrinsèque des navigateurs web modernes. Leur rôle est de lire les fichiers et le code JavaScript qu’un navigateur télécharge ou reçoit d’un site web, de l’interpréter, puis d’indiquer aux autres composants du navigateur comment rendre le résultat (la page web, les animations, les opérations en arrière-plan, les extensions du navigateur, etc.). Ils ont un rôle central dans un navigateur et sont donc susceptibles d’être attaqués.

« La sécurité du moteur JavaScript reste essentielle pour la sécurité des utilisateurs, comme le montrent les récents exploits 0-day qui abusent des vulnérabilités de v8, le moteur JavaScript à l’origine de Chrome », soulignait cette semaine Samuel Groß, chercheur en sécurité de l’équipe Google Project Zero, et auteur de Fuzzilli.

Pour accéder au règlement détaillé du programme, c’est ici.

Source : ZDNet.com

Leave a Reply

Your email address will not be published. Required fields are marked *