Dans un billet publié sur le blog sécurité de Google, l’équipe annonce que la politique de primes destinée à récompenser les chercheurs ayant trouvé des failles sur Chrome, sera étendue à Gmail, YouTube, Blogger et Orkut. Une recherche de failles qui se propage donc à toutes les applications « en ligne » en question. Les logiciels et noyaux locaux, tels que Android, Picassa, Google Desktop etc sont exclus de ce programme… du moins pour l’instant, précise l’auteur du billet. Un auteur qui rappelle les types d’attaques ou de vulnérabilités visés, et qui précise au passage que cet encouragement ne saurait justifier une attaque en déni de service ou toute autre tentative d’exploitation directe desdits services en ligne. En bref, ceci n’est pas une invitation à pirater YouTube ou autre en toute impunité. Sont naturellement exclus de ce programme les mineurs. Tout de même… si les marmots de Maternelle Supérieure passent leurs récrés à rédiger du bug-report, ça risque de tourner rapidement à la catastrophe et à la banqueroute. Le précédent Mozilla est là pour nous le rappeler. Sont également bannis les développeurs des pays considérés comme dangereux : Cuba, Corée du Nord, Iran, Soudan, Syrie… Et si l’auteur de Stuxnet était Nord-Coréen et avait utilisé un trou Gmail ? On ne sait si une telle réserve tient de la crainte d’avoir à recevoir une information sécurité d’un tel pays, s’il s’agit plus simplement de ne pas souhaiter envoyer les 3133,7$ au ressortissant d’un état-voyou. Ou bien encore, ce refus de voir ces pays « exporter » des failles que leurs chercheurs pourraient découvrir n’est peut-être là qu’une tentative détournée d’aide au développement interne, desdits pays souvent économiquement défavorisés. Une façon peut-être de favoriser la naissance d’une véritable industrie nationale de logiciels de pentesting ou d’inciter à l’ouverture d’écoles capables de sortir des CISSP par wagon …