Google a décidé de ne pas payer pour les vulnérabilités découvertes dans les applications et les jeux du Play Store. Le géant de la recherche met ainsi un terme à son programme de chasse aux bugs.
Google ne paiera pas pour les vulnérabilités car il met fin à son programme de récompense de sécurité Play
Google a lancé le Google Play Security Reward Program (GPSRP) en octobre 2017. Il s'agit essentiellement d'un programme de recherche de bugs. De nombreuses entreprises font appel à des personnes et à des agences externes pour repérer les vulnérabilités et les failles des logiciels, et Google ne fait pas exception.
Google a réussi à inciter les chercheurs en sécurité à trouver et à divulguer les vulnérabilités. Le GPSRP, en particulier, était destiné aux applications Android distribuées via le Google Play Store.
Google met fin au programme Google Play Security Reward le 31 août en raison du nombre réduit de vulnérabilités signalées. pic.twitter.com/4ohrvT04m2
— choqao (@choqao) 19 août 2024
Il est intéressant de noter que Google a initialement limité le GPSRP à un nombre restreint de développeurs. Ils devaient soumettre des vulnérabilités éligibles affectant un nombre restreint d'applications. De plus, seuls quelques développeurs d'applications ont vu leurs produits examinés.
Google a finalement étendu son programme de chasse aux bugs à plusieurs applications d'Amazon, Snapchat, Tesla, TikTok et bien d'autres. Cependant, le géant de la recherche aurait décidé de mettre fin au programme. Par conséquent, les chercheurs en sécurité ne recevront pas de récompenses financières.
Les applications Android seront-elles désormais exposées à des risques de sécurité non découverts ?
Google va cesser de payer pour les failles de sécurité dans les applications du Play Store. Cela ne signifie pas pour autant que les applications Android seront désormais exposées à des risques de sécurité.
Google affirme être désormais confiant quant à ses mesures de sécurité. Le géant de la recherche a indiqué que le programme Google Play Security Reward avait pour objectif de faire du Play Store une destination plus sûre pour les applications Android.
Google a déclaré avoir collecté de nombreuses données sur les vulnérabilités du programme. Il a utilisé ces connaissances pour créer des contrôles automatisés qui ont analysé toutes les applications disponibles sur Google Play à la recherche de vulnérabilités similaires.
Grâce à l'exécution du GPSRP, les vulnérabilités de sécurité susceptibles de passer à travers les contrôles et défenses automatisés de Google sont bien moins nombreuses. L'entreprise a donc décidé de mettre fin au programme.
La fermeture par Google de son programme de primes aux bugs sur le Play Store suggère fortement que la boutique d'applications Android est désormais largement protégée contre les vulnérabilités. Cependant, les chercheurs en sécurité n'ont désormais plus aucun intérêt à signaler de nouvelles vulnérabilités, car Google ne les rémunère pas généreusement. Par ailleurs, les chercheurs peuvent toujours gagner de l'argent grâce au programme Vulnerability Rewards, qui couvre désormais les plateformes d'intelligence artificielle générative.
