En 2021 Google a reversé 8,7 millions de dollars aux chasseurs de vulnérabilités

Publié le 14 février 2022 à 08h30

Il n'y a pas que les hackers qui peuvent récolter de grosses sommes grâce aux failles et aux vulnérabilités. Elles peuvent aussi être rentables pour les personnes plus bienveillantes qui participent à la chasse aux bugs des géants de la tech.

Rien qu’en 2021, Google a versé presque 9 millions de dollars aux chercheurs de son programme VRP (Vulnerability Reward Programs).

Presque 9 millions de dollars versés aux chercheurs

Face aux menaces plus grandissantes, les sommes versées aux chasseurs de vulnérabilités ne cessent d’augmenter. Rien qu’en 2021, Google les a rétribués à hauteur de 8,7 millions de dollars (7,6 millions euros), soit 2 millions de plus que l’année précédente. Les 696 chercheurs récompensés pour avoir découvert des bugs et failles logicielles sur Android, Google Chrome et les autres services web de la marque ont par ailleurs reversé 300 000 dollars de ce montant aux œuvres de charité de leur choix.

Sur ce montant total, presque 3,3 millions de dollars ont été alloués aux failles de Chrome, dont 3,1 millions concernent le navigateur web et 250 000 dollars Chrome OS. Vient ensuite Android avec 2,9 millions de dollars versés aux contributeurs (contre 1,74 millions en 2020). Certaines failles rapportent néanmoins plus d’autres. Un signalement d’un défaut majeur d’Android s’est transformé en joli chèque de 157 000 dollars pour l’un des chasseurs. Du côté de Chrome OS la plus belle prime a été de 45 000 dollars et de 27 000 dollars sur Chrome. Si 2021 aura été prolifique pour les chercheurs en sécurité, Google se targue que personne n’a empoché la récompense de 1,5 million de dollars qui sera versée à celui ou celle qui mettra en défaut sa puce de sécurité Titan-M, présente dans les smartphones Pixel.

Source : 9to5Google

Par Noëllie Mautaint

Fan absolue de jeux vidéo bercée par les RPG et les jeux à forte narration. Constituée à 80% de jeux vidéo, mangas, séries, cinéma, livres, musique et nouvelles technologies. Attention, peut mordre si on critique à tort Final Fantasy X et XIII, Kingdom Hearts, The Last of Us, Life is Strange ou Avatar The Last Airbender.

Articles de Noëllie Mautaint

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !

Commentaires (0)

Rejoignez la communauté Clubic

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

Commentaires (10)

kast_or

C’est beaucoup et peu à la fois.
S’ils embauchaient ces personnes ils les paieraient sûrement au moins 150k/an.
9 millions ça équivaut donc à 60 personnes.
J imagine qu il y a bien plus de 60 personnes qui bossent gratuitement à chercher des bugs.

DMartin

Je n’aurais pas dit mieux.

tfpsly

Les GAFAM embauchent bien certaines de ces personnes. Chez Google c’est le Project Zero

cid1

Heureusement que ce genre de belles primes existent, ça incite les informaticiens à chercher des bugs et en faire profiter tout le monde, ils reçoivent leur prime et ils sont content.

_Dorsoduro

En mm temps, l’un n’empeche pas l’autre. On imagine bien que google a dejà des equipes ultra dopé en interne qui debug aussi leur code en amont.

_Dorsoduro

Tu m’as grillé

jakadi

ce serait intéressant de savoir combien coûterait un département google chargé de chercher les failles.

Car un calcul rapide donne : un smic (1000 euros mensuel pour simplifier) ça donne 12.000 euros par an.
Il y a 696 chercheurs récompensés cette année.
696 * 12.000 = 8.3 millions.
Donc, si google avait un service de recherche de bogues (le service QA ?) et qu’il avait embauché ces 696 chercheurs, ceux-ci auraient été payés au smic.

Bravo google ! Il vaut mieux payer au coup par coup, plutôt que de se payer un service QA qui aurait coûté plus cher

MattS32

Oui, si ces chercheurs ont en moyenne passé l’équivalent d’un an à temps plein sur la faille qu’ils ont trouvée et communiquée à Google.

En réalité, ils ont sans doute passé beaucoup moins de temps que ça, donc touché une rémunération très supérieure au SMIC.

Là encore, c’est un sacré raccourci… Ces primes sont là pour récompenser ceux qui trouvent les failles qui sont passées malgré le travail du service QA, ce qui est inévitable sur des projets aussi gros. Le but n’est en aucun cas de remplacer le service QA, ni même de faire des économies dessus.

Comme souligné plus haut, Google a d’ailleurs même un service (Project Zero) dédié à la recherche de failles, aussi bien dans ses produits que dans ceux des autres (parce qu’un œil extérieur, ça peut voir des choses qu’on n’arrive pas à voir en interne…), en plus des services QA liés à ses différents produits. Et c’est loin d’être le seul, toutes les grosses boîtes de ce genre ont un labo R&D dédié à la sécurité.

kast_or

Oui oui, je suis bien d accord qu’ils ont aussi des armes de testeur/hacker en interne.
Ce que je voulais dire c’est que les sommes versées paraissent importantes mais que c’est finalement pas cher payé.
40k pour une faille importantes, c’est pas un mec dans son garage qui trouve ça. C’est plutôt une équipe 4 chercheurs qui gagnent déjà bien leur vie.
Et ça pour des dizaines d autres qui ont pas encore trouvé et bossent donc gratos.

_Dorsoduro

@kast_or je vois ce que tu veux dire mais en vrai. C pas comme sa qu’il faut raisonner. Le business plan de google c’est mettre à l épreuve leur code par tous. Hacker brillant ou chanceux tout le monde peux y jouer. Et les récompenses sont la pour motiver les plus doué à chercher et surtout leur remonter les pepites bugs les plus graves. C un peu c qui marque a linux. On est dans de l open source aussi mais le code est a mon sens nettement plus éprouvé. Google ne récompense pas les relecteurs de code. Il récompense les trouvailles selon leurs gravités. Et a ce jeu là il y a de plus en plus d argent qui tombent et en bonus coupe l herbe sous le pied des black hackers