Voilà qui n’est pas banal : un employé d’Apple est tombé sur un bogue jusqu’alors inconnu dans Google Chrome et l’a rapidement signalé dans l’espoir de recevoir une prime de bogue (bug bounty). Cet employé, qui utilise le pseudonyme « Galileo » sur un forum TechCrunch, a précisé que le bogue n’était pas urgent et ne posait pas de risques significatifs en situation réelle. Hélas pour le dénicheur de bug, Google a rejeté la demande de prime, considérant que cette dernière était arrivée trop tard.

Bug Bounty

Le bogue a été découvert lors d’un concours de piratage « Capture the Flag » (CTF) en mars dernier : « Gallileo »  a investi deux semaines de travail à temps plein afin d’en identifier la cause première, créer une preuve de concept d’exploit et préparer un rapport détaillé pour le correctif. Malheureusement, le rapport est parvenu in fine à Google le 5 juin, légèrement retardé en raison de la nécessité de localiser la personne responsable et d’obtenir les approbations nécessaires.

Pour rajouter à l’imbroglio, un autre individu (resté anonyme) a signalé le bogue à Google tout en indiquant clairement qu’il ne l’avait pas découvert mais  voulait juste s’assurer que Google était bien au courant. Et vous savez quoi ? Google a donné la prime de 10 000 dollars à cette personne qui ne demandait rien et a même protesté après avoir reçu la prime !

Google a en partie reconnu son erreur et tenté d’arranger les choses en créditant le premier découvreur dans les notes du correctif de sécurité. Quant à la prime, elle ne sera pas reversée.