Il s’appelle Sergey Glazunov, et a reçu jusqu’à présent près de 20 000 $ de « prime au bug » de la part de Google et de son programme 133,7 Prime. Il est surtout le premier chasseur de failles à avoir décroché la prime « El33t » du Chromium Security Award d’un montant de 3133,7 dollars, qui s’additionne à la longue liste de remerciements et de citations décrochées au fil de l’année passée. Une recherche du patronyme « Glazunov » sur le blog Google Chrome provoque une avalanche de dates et de découvertes : 8 juin, 20 août, 17 mars, 2 et 13 décembre, 2 et 15 septembre… et à chaque fois quelques billets verts qui tombent au passage. Cela rapporte plus qu’un peu de gloire et quelques prunes, et l’on se plaît à penser à la fortune qu’aurait pu amasser un Luigi Auriema ou un Thierry Zoller s’ils avaient voulu participer à cette campagne de déverminage. Un chercheur Français très connu a fait tout de même remarquer à notre rédaction que les sommes offertes par Google font presque figure d’obole comparées à ce que rapporte une vulnérabilité « weaponisée » (livrée avec un code d’exploitation fonctionnel) et vendues au Zero Day Initiative ou (dito) « mieux, à un gouvernement ».
Ce palmarès tout de même impressionnant obtenu par Glazunov prouve au moins deux choses : il est possible de vivre en ne faisant pratiquement que de la recherche en sécurité à partir du moment où celle-ci est entièrement vouée à l’amélioration d’un produit commercial ce qui laisse peu d’espoir de survie aux travailleurs du monde du Libre-et-gratuit ou aux chercheurs purs travaillant sur des projets complexes genre Honeynet. La seconde certitude, c’est qu’il existe une logique économiquement viable reposant sur une juste rétribution de l’inventeur sur les deniers de l’éditeur… et qui confirme le fait que si un Google achète 1300 $ un trou de sécurité de première catégorie et en tire de la publicité, il pourrait aussi être capable d’augmenter ladite prime. Une logique qui a encore beaucoup de mal à s’imposer en France, ou un chasseur de faille est, juridiquement parlant, passible des foudres de la LCEN.
1 commentaire