Google a versé 10 millions de dollars en récompenses de bug bounty aux chercheurs en sécurité du monde entier par le biais de son programme de récompenses de vulnérabilité (VRP) en 2023. La société a récompensé 632 chercheurs de 68 pays pour avoir détecté et signalé en toute sécurité des problèmes de sécurité dans ses produits et services. Le montant est légèrement inférieur aux 12 millions de dollars payés en 2022.
Le programme de bug bounty de Google a déboursé 10 millions de dollars en 2023
Le VRP de Google existe depuis plus d’une décennie maintenant. Il récompense les chercheurs en sécurité qui signalent des bogues dans ses produits et services. Depuis 2010, la société a déboursé plus de 59 millions de dollars en bug bounties. Le paiement annuel le plus élevé était de 12 millions de dollars en 2022. Le prix en argent a atteint 10 millions de dollars l’année dernière, ce qui suggère une participation continue de la communauté à ses efforts de sécurité. La récompense la plus élevée remportée par un chercheur en sécurité était de 113 337 $.
Selon Google, les participants au VRP se sont davantage concentrés sur les problèmes de gravité plus élevée en 2023. Cela est probablement dû au fait que l’entreprise a augmenté la récompense pour les problèmes de gravité élevée et critique. En mai dernier, il a annoncé une récompense maximale de 15 000 $ pour les vulnérabilités critiques. Le fabricant d’Android a également commencé à offrir des récompenses bonus pour les rapports destinés à des cibles VRP spécifiques en juin, motivant davantage les chercheurs à découvrir les failles de sécurité critiques.
Sur les 10 millions de dollars, Google a versé 3,4 millions de dollars en récompense aux chercheurs qui ont découvert des vulnérabilités au sein de son écosystème Android. Le montant de la récompense pour les vulnérabilités du navigateur Chrome s’élève à 2,1 millions de dollars. Les chercheurs en sécurité ont soumis 359 rapports de bogues uniques dans Chrome. Ceux-ci comprenaient « quelques rapports très percutants sur des bogues V8 existants de longue date, y compris un rapport sur un bogue d’optimisation JIT V8 dans Chrome depuis au moins M91 ».
Google a organisé un événement de piratage en direct pour Wear OS et Android Automotive OS lors de la conférence sur la sécurité ESCAL8. Les chercheurs ont découvert plus de 20 vulnérabilités critiques sur les deux plateformes, remportant une récompense de 70 000 $. La société a également organisé un concours similaire lors de la conférence hardwear.io. Cela a abouti à la découverte de 50 vulnérabilités dans Nest, Fitbit et Wearables. Les chercheurs qui ont découvert ces problèmes ont empoché 116 000 $ de récompenses.
L’IA générative est désormais couverte par le VRP de Google
Google a apporté plusieurs changements et améliorations à son VRP en 2023. En plus d’augmenter les récompenses pour les bugs critiques et d’introduire des récompenses bonus, il a commencé à offrir des primes aux chercheurs pour avoir trouvé des bugs dans ses produits d’IA générative comme Gemini, anciennement connu sous le nom de Bard. L’entreprise a organisé un événement de piratage en direct bugSWAT ciblant les produits LLM, au cours duquel elle a reçu 35 rapports de bogues, totalisant une prime de plus de 87 000 $.
« Nous restons déterminés à favoriser la collaboration, l’innovation et la transparence avec la communauté de la sécurité », a déclaré l’équipe Vulnerability Rewards de Google dans un article de blog. « Notre mission actuelle est de garder une longueur d’avance sur les menaces émergentes, de nous adapter à l’évolution des technologies et de continuer à renforcer la sécurité des produits et services de Google. Nous sommes impatients de continuer à faire progresser le monde de la cybersécurité.
