Dans un billet de blog, Google a annoncé hier le lancement du DDPRP, un programme qui soutient le signalement d’abus de données par les chercheurs en sécurité. Ils peuvent gagner jusqu’à 50 000 dollars en trouvant des applications peu respectueuses des informations personnelles.
Le Developer Data Protection Reward Program ou DDPRP vise à promouvoir le signalement d’abus de données d’applications populaires utilisant l’API Google. Celle-ci peuvent être des apps mobiles téléchargées plus de 100 millions de fois sur Google Play ou des extensions Chrome installées par plus de 50 000 personnes depuis le Chrome Web Store.
Abus de données : Google lance un programme de récompense
Ce programme est disponible depuis la plateforme HackerOn. Les chercheurs en cybersécurité et les développeurs doivent ainsi repérer si une application vend, dévoile ou partage les informations des utilisateurs en violant les conditions émises par Google et/ou la politique de confidentialité affichée par l’éditeur.
Les participants doivent non seulement présenter leur trouvaille, mais également prouver qu’il y a bien un abus de données intentionnel. Par ailleurs, Google les invite à vérifier si les niveaux de permissions sont respectés.
Le DDPRP de Google récompense les personnes qui prouvent qu’une application ne traite pas les données personnelles comme des informations confidentielles ou qu’elle récupère les contacts téléphoniques, les métadonnées des appels, lit les SMS, entre autres.
De même, la firme cherche les violations des conditions de l’API Google. Elle présente les exemples suivants concernant les apps mobiles :
- fournissant des services de voyage, utilisant ou transférant des données utilisateur sans rapport avec le voyage.
- qui transfère les données des utilisateurs aux affiliés pour les aider à développer de nouveaux produits.
- utilisant ou partageant des données d’utilisateur dans le but de cibler cet utilisateur avec des publicités.
- dont l’éditeur permet aux employés de lire les données de l’utilisateur sans la permission de l’utilisateur.
Des récompenses sonnantes et trébuchantes pour motiver les chercheurs
Google promet des récompenses importantes pouvant atteindre 50 000 dollars. Pour cela, “les chasseurs d’abus de données devront passer par la plateforme HackerOne. Ils ont l’interdiction d’exploiter des techniques de phishing ou de social engeneering, de scrapping, des attaques SSL man in the middle, ou encore de violer les politiques de confidentialité pour arriver à leurs fins. Enfin, les failles de sécurité devront être directement signalées aux éditeurs des applications.
Le lancement de ce programme n’est pas un hasard. Cette décision a été prise en réaction au piratage de l’application CamScanner, téléchargée plus de 100 millions. Cette dernière était infectée par un malware, selon Kapersky. Les cybercriminels y avaient inséré des publicités intempestives et arrivaient à contrôler le smartphone des utilisateurs. Les logiciels contrevenants seront bannis du Chrome Web Store ou du Play Store.
- Partager l'article :