Pour être admissibles à une récompense, les personnes intéressées doivent trouver des failles de sécurité qui correspondent à certains critères. Les failles doivent notamment permettre l’exécution de commandes à distance sur un appareil mobile sans que son propriétaire en soit averti.

Parmi les exemples de manipulations malicieuses citées par la page du programme, on retrouve la prise de contrôle complète d’un appareil, la manipulation de l’interface utilisateur pour effectuer une transaction financière non sollicitée ou encore l’ouverture de pages web qui peuvent mener à une attaque d’hameçonnage.

Le Google Play Security Reward Program s’applique uniquement aux applications dont les concepteurs ont adhéré à l’initiative, dont Snapchat, Tinder, Dropbox et Alibaba. La page du programme indique que d’autres applications pourraient être ajoutées à cette liste.

Une stratégie répandue

Le fait de faire appel à des pirates pour en déjouer d’autres peut surprendre, au premier abord, mais il s’agit pourtant d’une pratique relativement courante dans le milieu de la cybersécurité. De nombreuses entreprises – grandes et petites – se servent de cette approche gagnant-gagnant pour sécuriser leurs services, dont Apple, Facebook, Mastercard, PayPal, Tesla et United Airlines.

Microsoft a même remis 200 000 $ US à un étudiant de l’Université Columbia, en 2012, pour le récompenser d’avoir trouvé une solution à une méthode de contournement de ses systèmes de sécurité.

Plus tôt ce printemps, Nintendo annonçait quant à elle une récompense pouvant aller jusqu’à 20 000 $ pour quiconque réussirait à pirater sa nouvelle console Switch.

Et les entreprises ne sont pas les seules à s’intéresser au travail des pirates. Le département de la Défense américain a fait appel à leurs talents en 2016 pour trouver des failles de sécurité, ce qui a permis au gouvernement d’économiser 850 000 $ US par rapport à une méthode plus traditionnelle, selon l’ex-secrétaire à la Défense Ashton Carter.