Google a offert 6 millions de dollars aux chasseurs de bugs

Google déclare avoir versé plus de 6 millions de dollars aux chercheurs externes à l’entreprise depuis le lancement, en 2010, de son Vulnerability Reward Program (ou VRP). En 2015 uniquement, plus de 300 chercheurs en sécurité ont été récompensés d’une somme totale supérieure à 2 millions de dollars. Et ce pour avoir trouvé plus de 750 bugs dans les services et applications de la firme.

Pour colmater les brèches et limiter les frais, Google n’est pas le seul à tabler sur le savoir de contributeurs externes et de hackers potentiels. D’autres entreprises et organisations (de Microsoft au projet Tor) pilotent leurs programmes de recherche de vulnérabilités. Ces « bug bounty programs » incitent les tiers à contribuer à la découverte de failles et à diffuser les résultats de leur recherche dans un cadre défini. Ils limitent également le risque d’une utilisation des recherches à des fins malveillantes ou une vente de failles au plus offrant. À condition de proposer une somme attractive.

Android relance la machine

En 2015, Google a élargi à d’autres produits son programme de récompenses à l’attention de chercheurs en sécurité (Security Reward Program, qui inclut VRP). Cette initiative a eu « un impact significatif et immédiat » sur son développement auprès des contributeurs, déclare dans un billet de blog un ingénieur de Google, Eduardo Vela Nava. Android, l’OS mobile de la firme, a rejoint le programme en juin dernier. Fin 2015, plus de 200 000 dollars avaient déjà été versés aux chercheurs en sécurité sur Android, dont un paiement unique de 37 500 dollars pour l’un d’entre eux.