Google fait évoluer son Security Reward Programs (VRP), son programme visant à récompenser les dénicheurs de bugs de ses produits, en particulier ceux affectant son navigateur Chrome. La firme de Mountain View a lancé, en janvier 2015, un nouveau programme de sécurité expérimental visant à la fois à élargir les produits concernés par la chasse aux bugs et relancer l’intérêt des chercheurs pour cette activité. Sur ce dernier point, le moteur de recherche lance Vulnerability Research Grants (VRG), un programme de subventionnement qui s’inscrit en complément de VRP.
La recherche subventionnée de vulnérabilités se limite aux nouveaux produits et fonctionnalités dont Google fournira la liste au fil de son programme. Ainsi que le montant des récompenses qui s’étaleront entre 500 et 3 133,7 dollars par recherche. Ouvert à tous les chercheurs de sécurité extérieurs à la firme et autres experts invités, VRG affiche la particularité de récompenser les participants même s’ils font choux blanc dans leur travaux. Et s’ils ont le bonheur de trouver une vulnérabilité, ils participent alors à VRP et ses largesses. Les intéressés trouveront les détails de fonctionnement du programme sur cette page.
Cette initiative permet ainsi de motiver les chercheurs à maintenir leur vigilance afin de permettre à Google de multiplier les chances d’assurer l’intégrité de ses produits. « Les efforts des chercheurs à travers [VRP] combinés à notre travail de sécurité interne rendent incroyablement difficile la recherche de bugs. Bien sûr, c’est une bonne nouvelle, mais cela peut alors décourager les chercheurs qui investissent de leur temps et se démènent à trouver des failles », justifie l’ingénieur en sécurité de Google Eduardo Vela Nava dans une contribution de blog. Les subventions devraient ainsi assurer à Google de conserver une communauté de brillants dénicheurs de bugs. Et, par les temps qui courent, la sécurité est loin d’être un luxe.
En parallèle à cette nouvelle initiative, Eduardo Vela Nava en profite pour annoncer l’ouverture du programme classique de récompenses, VRP, aux applications mobiles pour Android et iTunes (iOS). Il nous rappelle par ailleurs que, depuis l’ouverture du programme en 2010, Google a distribué plus de 4 millions de dollars en récompenses, dont 1,5 million en 2014 répartis entre plus de 200 chercheurs qui ont trouvé plus de 500 bugs. Le meilleur d’entre eux a gagné 150 000 dollars l’année dernière. Un moteur anti-vulnérabilité qui n’a plus à faire ses preuves aujourd’hui renforcée par le nouveau système de subventionnement, donc.
Lire également
Correctifs de sécurité en pagaille pour Google Chrome 40
Google ignore la colère de Microsoft en publiant une autre faille Windows
Flash Player victime d’une faille zero day exploitée
Pour développer une version 7B de son modèle Codestral, Mistral AI n'a pas utilisé de…
L’Autorité de la concurrence et des marchés (CMA) britannique ouvre une enquête sur les conditions…
Thomas Gourand est nommé Directeur Général pour la France. Il est chargé du développement de…
Pour dissuader le CISPE d'un accord avec Microsoft, Google aurait mis près de 500 M€…
Pour réduire la taille des mises à jour de Windows, Microsoft va mettre en place…
De l'organisation administrative à la construction budgétaire, la Cour des comptes pointe le fonctionnement complexe…