Le géant du Web invite depuis 2010 les chercheurs en sécurité extérieurs à lui signaler les vulnérabilités de ses produits. En 2017, l’entreprise a dépensé 2,9 millions de dollars en récompense, dont 112 000 pour un seul chercheur ayant découvert une faille des smartphones de la gamme Pixel.
En 2017, Google a versé 2,9 millions de dollars de récompenses dans le cadre de ses programmes de bug bounty. C’est un peu moins que les 3 millions de dollars (et des poussières) payés en 2016. Cette légère baisse s’explique sans doute par le nombre plus faible de chercheurs rémunérés l’année passée : ils sont 274 à avoir été récompensés pour avoir découvert des failles dans les produits Google, contre plus de 350 en 2016.
La récompense la plus élevée a été offerte à Guang Gong, un chercheur chinois qui a découvert une faille des smartphones Pixel permettant une exécution de code à distance dans le processus de rendu de Chrome. Pour cette découverte, il a reçu 112 500 dollars du programme Android Security Rewards. En second position, « gzobqq » (c’est un pseudo) a remporté 100 000 dollars pour avoir mis au jour une série de bugs permettant l’exécution de code à distance dans Chrome OS.
Données perso
Google précise avoir versé 125 000 dollars à une cinquantaine de chercheurs dans le cadre de son programme Vulnerability Research Grants et 50 000 dollars à ceux « qui améliorent la sécurité des logiciels libres dans le cadre de notre programme Patch Rewards ». Guang Gong a obtenu à ce jour la plus importante récompense offerte par Google lors d’un bug bounty, le record stagnant jusqu’à présent à 100 000 dollars.
Enfin, Google annonce rehausser certaines de ses récompenses. « Personne n'a sollicité la meilleure récompense pour une chaîne d’exploits Android depuis plus de deux ans », Google augmente alors la mise de 50 000 à 200 000 dollars. De même, la découverte d’un exploit du kernel à distance sera payé 150 000 dollars contre 30 000 précédemment. Enfin, Mountain View introduit une nouvelle catégorie de bug bounty, récompensant les chercheurs qui découvriront des vulnérabilités dont l’exploit peut provoquer une fuite des données personnelles de l’utilisateur ou un déchiffrement de ses informations.
