C'est une bonne situation, ça, chasseur de bug pour Google ? (spoiler : oui)

Par Stéphane Ficca, Spécialiste hardware & gaming.

Publié le 23 février 2023 à 18h00

Google a récemment publié son compte-rendu en ce qui concerne ses Vulnerability Reward Programs (VRP) en 2022.

Et force est d'admettre que la chasse aux bugs peut rapporter gros chez Google.

12 millions de dollars de primes pour les chasseurs de bugs

Dans un billet de blog, Google fait le bilan de l'année 2022 en ce qui concerne son programme de chasse aux bugs « Vulnerability Reward Programs ». Au total, en travaillant avec des chercheurs en sécurité tout au long de l'année écoulée, Google indique avoir pu identifier (et corriger !) plus de 2 900 failles.

Le géant américain annonce que son programme VRP ne cesse de croitre au fil des années, si bien que l'année 2022 a constitué un nouveau record. « En 2022, nous avons attribué plus de 12 millions de dollars de primes, les chercheurs ayant fait don de plus de 230 000 dollars à l'organisation caritative de leur choix », indique Google.

Le bug qui valait 605 000 dollars !

La récompense la plus élevée est à mettre au crédit d'une chaîne de cinq bugs, identifiés par l'utilisateur gzobqq, et qui lui ont permis de glaner la somme de… 605 000 dollars ! C'est ce même gzobqq qui avait identifié une autre faille critique sur Android en 2021, empochant alors une récompense de 157 000 dollars.

Au total, Google a versé pas moins de 4,8 millions de dollars de récompenses dans le cadre de son VRP pour Android. Certains utilisateurs ont ainsi remonté plusieurs dizaines de bugs au géant américain, Aman Pandey de Bugsmirror en totalisant même plus de 200.

Le programme dédié à Chrome a lui aussi connu un vif succès, avec un total de 470 bugs remontés et corrigés, pour 4 millions de dollars de récompenses cumulées. Sur ces 4 millions de dollars, 3,5 millions ont été attribués pour 363 bugs de sécurité identifiés dans le navigateur Chrome, le reste ayant été attribué pour un peu plus d'une centaine de bugs découverts au sein de ChromeOS.

En 2023, Google entend bien poursuivre le développement de son programme VRP. Ceux qui souhaitent faire partie de l'équipe des « bugs hunters » sont invités à se manifester directement à cette adresse.

Source : Bleeding Computer

Par Stéphane Ficca

Spécialiste hardware & gaming

Fervent amateur de jeux vidéo et de high-tech, spécialisé en Mega Man 2 et autres joyeusetés vidéoludiques ancestrales.

Articles de Stéphane Ficca

Google

Actualités High-Tech

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !

Commentaires (0)

Rejoignez la communauté Clubic

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

Commentaires (10)

MattS32

La réponse est non, pas oui.

C’est certes une bonne chose de récompenser ceux qui trouvent des failles, mais c’est aussi et surtout en moyen d’assurer la sécurité d’un produit à moindre coût en faisant travailler des gens dessus gratuitement.

Parce que pour un type qui touche le jackpot parce qu’il a trouvé LA faille grave qui rapporte, t’en as 10 qui touchent des clopinettes alors qu’ils ont travaillé des heures mais n’ont trouvé que des petites failles rapportant peu et 100 qui touchent rien du tout malgré des heures à bosser…

C’est comme les boîtes qui organisent des concours de design pour leur nouveau produit ou leur nouveau logo… Elles ont ainsi des propositions de dizaines de graphistes et designers, mais n’en payent qu’un seul, celui qui est finalement retenu…

Panicstation

Vous savez, moi je ne crois pas qu’il y ait de bonne ou de mauvaise situation. Moi, si je devais résumer ma vie aujourd’hui avec vous, je dirais que c’est d’abord des rencontres. Des gens qui m’ont tendu la main, peut-être à un moment où je ne pouvais pas, où j’étais seul chez moi. Et c’est assez curieux de se dire que les hasards, les rencontres, forgent une destinée… Parce que quand on a le goût de la chose, quand on a le goût de la chose bien faite, le beau geste, parfois on ne trouve pas l’interlocuteur en face je dirais, le miroir qui vous aide à avancer. Alors ça n’est pas mon cas, comme je disais là, puisque moi au contraire, j’ai pu : et je dis merci à la vie, je lui dis merci, je chante la vie, je danse la vie… je ne suis qu’amour ! Et finalement, quand beaucoup de gens aujourd’hui me disent « Mais comment fais-tu pour avoir cette humanité ? », et bien je leur réponds très simplement, je leur dis que c’est ce goût de l’amour ce goût donc qui m’a poussé aujourd’hui à entreprendre une construction mécanique, mais demain qui sait ? Peut-être simplement à me mettre au service de la communauté, à faire le don, le don de soi…

ayaredone

C’est un peu comme la loterie. Ils jouent en espérant gagner aussi.

MattS32

Sauf que la loterie, c’est un jeu, pas un travail. Là ils fournissent bien un travail. C’est comme si dans une entreprise avec 100 salariés y en avait 90 qui ne sont pas payés, 9 qui sont payés à peu près normalement et 1 qui est payé comme 10 pour faire rêver les 90 pigeons et les inciter à continuer à travailler… Ou comme si la Française des Jeux te demandait de travailler 1 semaine pour elle pour pouvoir valider un ticket de loto

Google paie l’équivalent de ce que lui coûteraient au grand max 60 ETP d’experts en sécurité. Mais largement plus de 60 ETP travaillent ainsi pour lui…

ayaredone

Ils ne sont pas employés par Google mais ils doivent, pour la plupart, avoir un travail ailleurs.

Ils font ça sur leur temps personnel donc oui ils jouent et espèrent trouver LE bug qui rapporte un max.

Personne ne les oblige. C’est leur choix personnel.

MattS32

Ça ne change rien au fait qu’ils travaillent en plus gratuitement pour Google, qui profites bien.

Oui, c’est toute la « beauté » de l’esclavagisme moderne. Réussir à faire travailler les gens gratuitement et volontairement

On verra si tu applaudiras toujours ça le jour où ton patron décidera de te remplacer par 10 gugus qui travaillent gratos en espérant toucher le pactole

ayaredone

Mais peut-être que ces gens n’ont pas tous envie de travailler pour Google et veulent rester indépendants.

Peut-être que leur niveau n’est pas assez élevé pour travailler chez Google (ceux qui ne trouvent rien ou des bugs mineurs)

Peut-être que les cadors préfèrent gagner des centaines de millers de dollars de chez eux et partir 6 mois en vacances.

D’autres arrondissent peut-être juste leur fin de mois avec ce moyen.

Vous croyez vraiment que vous savez tout et que vous avez raison à coup sûr sans connaître les motivations de ces chasseurs de bugs ?

Une opinion n’est pas la verité

MattS32

C’est pourtant ce qu’ils font. À partir du moment où tu commences à chercher des failles de sécurité dans un produit Google dans le but de signaler ces failles à Google, de fait, tu travailles pour Google. Sans lien hiérarchique et sans contrat, donc avec toute liberté d’arrêter quand tu veux, mais ils travaillent bien pour Google.

Ai-je parlé de leur motivations ? Non. J’ai juste dit qu’ils travaillent gratuitement et que Google en profite. Ça c’est un fait.

ayaredone

Un fait (prouvé) ou une opinion ?

C’est plutôt une opinion, posée avec aplomb, mais sans argument.

Mon opinion c’est que ces gens travaillent pour eux avant tout puisqu’ils en tirent une compensation financière. Mais c’est une opinion.

NB : j’aurais dû écrire CHEZ google et pas POUR Google.

MattS32

Non, c’est bien un fait : ils donnent de leur temps à une entreprise. C’est un peu la définition même de « travailler pour une entreprise ». Mais ils le font bénévolement, et sans doute pour certains sans vraiment se rendre compte qu’ils travaillent pour Google, contrairement à un employé ou un prestataire qui se fait payer pour le temps qu’il a donné.

Google par contre se rend bien compte que des gens travaillent pour elle gratuitement…

Non, l’écrasante majorité n’en tire justement pas un centime. C’est là toute l’astuce de ce mode de fonctionnement, comme l’entreprise paye au résultat et pas au temps consacré, elle ne paye qu’une fraction du temps de travail effectué…

C’est le même principe que les livreurs Deliveroo et Uber qui ne sont pas payés pour les temps d’attente, contrairement aux livreurs salariés par exemple, alors qu’ils sont bien à la disposition de l’entreprise pendant ce temps d’attente.

Et moi je dis bien pour Google, pas chez Google. Car oui, c’est sûr, ils ne travaillent pas chez Google. Mais ils travaillent bien pour Google.