Google met les bouchées doubles dans son programme de bug bounty, ces chasses aux vulnérabilités ouvertes aux hackers éthiques. Le géant de Mountain View vient d’annoncer avoir attribué plus de 12 millions de dollars de récompenses en 2022 pour l’identification de plus de 2 900 problèmes de sécurité sur ses produits Android, Chrome, et pour des projets open source suivis par l’entreprise.
12 millions de dollars de récompenses pour le bug bounty de Google en 2022: mine de rien, les primes ont quasiment doublé en deux ans. https://t.co/XhhLdpOh3r
— Gabriel Thierry (@gabrielthierry) February 23, 2023
Un rapport à 600 000 dollars
Le programme de bug bounty de Google a d’abord profité à la sécurité du système d’exploitation Android. Près de 5 millions de dollars de prime, dont un rapport inédit à 600 000 dollars du chercheur Gzobqq signalant une chaîne de cinq failles, ont été versés suite à la découverte de vulnérabilités.
De même, 4 millions de dollars de primes ont été attribués suite à la découverte de 473 failles dans le navigateur Chrome et dans ChromeOS. Quant au programme de bug bounty pour des projets open source de Google, il a récompensé une centaine de chercheurs en sécurité avec des primes d’un montant total de 110 000 dollars. L’entreprise avait signalé au lancement de nouveau programme de bug bounty son inquiétude à propos des attaques visant des faiblesses de logiciels open source.
Augmentation de l’enveloppe de primes
En quelques années, Google a donc sérieusement augmenté ses primes. L’entreprise n’avait versé que 2 millions de dollars de primes en 2015, un chiffre qui avait ensuite bondi en 2019 à 6,5 millions de dollars avant de quasiment doubler trois ans plus tard. Ce faisant, elle se rapproche de l’éditeur américain Microsoft, qui avait signalé en août dernier avoir versé près de 14 millions de dollars à des chercheurs en sécurité au cours des 12 derniers mois.
Une somme stable depuis plusieurs années : la firme de Redmond, qui avait mis en place une quinzaine de programmes de bug bounty, avait augmenté significativement l’enveloppe de ses primes courant 2018. Alors que le travail des hackers éthiques a parfois été vu d’un mauvais œil, la chasse aux vulnérabilités avait gagné en respectabilité à la fin des années 2010. Le recours à des hackers éthiques s’est notamment imposé grâce aux plateformes dédiées qui ont émergé, comme YesWeHack ou Yogosha en France.