__

Google a versé 12 millions de dollars pour des bugs et des failles

Dans le cadre du VRP, Alphabet a rémunéré 12 millions de dollars des informations sur des bugs et des failles de sécurité.

En 2022, Google (Alphabet) a rémunéré 12 millions de dollars des bugs et des failles de sécurité, dans le cadre du “Vulnerability Reward Programs”.

Auteur / Autrice :

Le marché des bugs et vulnérabilités

Apple, Google, et les autres géants de la tech peuvent être dotés des meilleures intentions imaginables pour leurs produits et leurs clients, il leur est absolument impossible de créer des produits parfaits de bout en bout, à 100%, et sans aucune faille.

Aussi, ces entreprises animent souvent des programmes de détection de failles de sécurité et de bugs avec des prestataires professionnels, des particuliers, et même des pirates. Ces derniers n’étant pas les plus mauvais pour trouver et exploiter les failles critiques…

Google fait évidemment partie de ces entreprises, et a mis en place le “Vulnerability Reward Programs”. Un programme de détection des bugs et des vulnérabilités dans les applications, produits et services du groupe Alphabet, dont les règles sont parfaitement décrites dans un billet dédié sur BugHunters. Il est même possible d’y trouver une “grille tarifaire”, qui détaille les niveaux de rémunérations des bugs et vulnérabilités détectés, en fonction de différents critères dont la criticité. Voici un extrait de ce tableau :

© Google

Et 2022 a été une année particulièrement prolifique pour le “Vulnerability Reward Programs” de Alphabet, puisque tout au long de l’année, le programme a permis d’identifier et de résoudre plus de 2 900 problèmes de sécurité !

Un axe lucratif

L’un des principaux axes cette année a été à nouveau Android, puisque “VRP Android” a connu une année 2022 record, qui aura généré 4,8 millions de dollars de récompenses ! C’est également dans cette branche que le rapport le mieux payé de l’histoire de “Google VRP” a été fait : un rapport qui a rapporté 605 000 $ à “gzobqq” pour une chaîne d’exploitation de cinq bugs ! Une belle somme.

La deuxième activité principale du programme “VRP” en 2022 a été autour de Chrome, le navigateur de Alphabet, qui a fait l’objet de 470 rapports de bugs de sécurité valides et uniques, générant un total de 4 millions de dollars de récompenses ! Google détaille d’ailleurs ce chiffre :

“Sur les 4 millions de dollars, 3,5 millions de dollars ont été attribués aux chercheurs pour 363 rapports de bogues de sécurité dans le navigateur Chrome et près de 500 000 $ ont été récompensés pour 110 rapports de bogues de sécurité dans ChromeOS.”

En août 2022, Google a aussi lancé le pendant “Open-Source” de VRP, pour la première fois, et plus de 100 chasseurs de bugs ont participé au programme et ont été récompensés de plus de 110 000 $.

Si ces trois axes ont été les principaux du VRP 2022, ils n’ont pas été les seuls, et Alphabet et Google ont versé en 2022 une somme plus élevée que jamais : 12 millions de dollars de récompenses. Un nombre en progression de 37,9% sur un an, par rapport au 8,7 millions de l’année 2021. Et plus largement, le “Vulnerability Reward Programs” de Alphabet progresse d’année en année dans le montant total des récompenses accordées aux bug hunters, comme le montre ce graphique que Google a partagé :

© Google

Et cette hausse pourrait logiquement se poursuivre dans les prochaines années, alors que la sécurité gagne toujours plus en importance, à mesure que le digital prend plus de place à tous les niveaux… et que les pirates ont des gains potentiellement plus élevés à contourner les failles des géants de la tech qu’à leur signaler !