Récemment, Google a confirmé la fermeture de son programme Google Play Security Reward Program (GPSRP). Cela signifie que les chercheurs ne recevront plus de paiement pour avoir trouvé des vulnérabilités dans les applications du Google Play Store. Le géant de Mountain View a maintenant révélé la raison de cette décision.
Google annonce officiellement qu'il ne paiera plus pour détecter les vulnérabilités du Play Store
Selon un porte-parole de Google, après 7 ans, le GPSRP a aidé l'entreprise à établir de meilleures règles automatiques pour détecter les vulnérabilités dans les systèmes de sécurité du Play Store. Ainsi, de nombreuses vulnérabilités qui pourraient donner droit à une récompense monétaire sont déjà détectées automatiquement.
Dans son communiqué, l’entreprise se dit fière d’avoir mis en place ce programme : « Nous sommes très reconnaissants envers la communauté de recherche en sécurité qui contribue à la sécurité des utilisateurs d’Android. Le programme Google Play Security Reward Program (GPSRP) a été le premier programme de ce type à verser une récompense supplémentaire en plus des programmes de récompense des développeurs en matière de vulnérabilité. Lancé pour encourager les développeurs d’applications à établir leurs propres programmes de sécurité, le GPSRP a atteint son objectif après 7 ans. »
En ce qui concerne l'arrêt du programme, le porte-parole de Google a déclaré ce qui suit : « En raison de nos avancées dans les fonctionnalités de sécurité d'Android et du renforcement du système d'exploitation, nous avons constaté que moins de vulnérabilités exploitables ont été signalées au programme GPSRP par la communauté des chercheurs. En raison de cette diminution des vulnérabilités exploitables signalées, nous mettons fin au programme. »
Cela signifie que les systèmes de sécurité de Google Play sont désormais beaucoup plus capables de détecter les vulnérabilités de manière autonome. Cela est rendu possible grâce à des années de collecte et de traitement de données. Si les chercheurs ne recevront plus de rémunération pour la recherche de vulnérabilités sur Google Play, l’entreprise les encourage « à travailler directement avec les développeurs d’applications s’ils découvrent des vulnérabilités potentielles en matière de sécurité ».
Le programme de Google pour les services et plateformes basés sur l'IA est toujours actif
Bien que Google mette un terme au programme de « bug bounty » pour les applications du Play Store, il existe encore des domaines dans lesquels il est actif. Par exemple, dans ses services basés sur l’IA, un segment qui a soudainement explosé il y a quelques années. Ce dernier a encore beaucoup de travail devant lui et des récompenses potentielles à gagner pour les chercheurs. Dans le cas de Google Play, il est normal que la plateforme ait atteint un tel stade de maturité. Après tout, elle a déjà beaucoup de temps, de retours et de travail derrière elle.
