L’an dernier, Google a battu un record. La société a versé 17,1 millions de dollars à 747 chercheurs en sécurité ayant découvert des failles dans ses produits. Google s’est notamment montré très généreux avec les personnes qui ont débusqué des vulnérabilités dans Chrome ou dans des outils d’IA générative.
En 2010, Google a lancé le Vulnerability Reward Program (VRP), ou « Programme de récompense pour les vulnérabilités ». Comme son nom l’indique, ce programme récompense les chercheurs qui découvrent une faille de sécurité dans les produits de Google. En 15 ans d’existence, ce dispositif a distribué un total de 81,6 millions de dollars à des chercheurs en sécurité.
L’an dernier, Google a battu un record en offrant 17,1 millions de dollars aux chasseurs de bugs. C’est 40% de plus que les 11,8 millions distribués en 2024. Les chiffres montrent que Google s’est mis à offrir de plus en plus d’argent pour la découverte d’une vulnérabilité. Le record ne découle pas d’une explosion du nombre de failles débusquées par des experts. L’an dernier, le géant de Mountain View a rémunéré un total de 747 chercheurs, seulement 13 % de plus qu’un an plus tôt.
« Notre objectif reste de garder une longueur d’avance sur les menaces émergentes, de nous adapter à l’évolution des technologies et de continuer à renforcer la sécurité des produits et services de Google », explique Google sur son blog.
À lire aussi : Un bug Android désactive votre VPN à votre insu, Google est accusé de négligence
Une faille Chrome à 250 000 dollars
La faille la plus rémunératrice de l’an dernier concerne Chrome. La vulnérabtilité, considérée comme critique par les équipes de Google, se trouvait au cœur du système Mojo IPC, qui gère la communication entre les différents processus du navigateur. Une fois exploitée, elle permettait de piéger l’utilisateur avec un site malveillant et d’exécuter des commandes sur le système. Le chercheur à l’origine de la découverte a gagné 250 000 dollars après avoir prévenu Google.
Notez que Chrome est l’un des domaines les plus rémunérateurs du programme de récompense. L’an dernier, les brèches dans le navigateur ont rapporté 3,7 millions de dollars à des chercheurs en sécurité. Google Cloud (3,57 millions) et Android (2,9 millions) font aussi partie des secteurs les plus lucratifs pour les chasseurs de vulnérabilités.
A lire aussi : Cyberattaque mondiale – Google neutralise une campagne d’espionnage chinoise d’une « ampleur considérable »
Un programme de récompense réservé à l’IA
En 2025, Google a ajouté une catégorie consacrée à l’intelligence artificielle à son programme, l’AI Vulnerability Reward Program. Auparavant, les failles étaient traitées de manière dispersée au travers des différents programmes de récompenses. Le programme concerne les failles bien spécifiques à l’IA, et qui permettent d’orchestrer des vol de données sans consentement de l’utilisateur, des comportements imprévus chez un modèle linguistique, ou encore un accès non autorisé à des fonctionnalités côté serveur dans des produits comme Gemini.
La sécurisation « des produits d’IA générative nécessite des recherches spécialisées, distinctes des vulnérabilités traditionnelles », justifie le groupe américain. Dès son lancement en octobre dernier, ce programme a généré 890 000 dollars de récompenses. Les récompenses peuvent monter jusqu’à 30 000 dollars pour certaines failles de l’IA.
👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google, et abonnez-vous à notre canal WhatsApp.