Bug Bounty : Google a versé 2,9 millions de dollars en 2017 et revalorise considérablement certaines primes
lun, 12/02/2018 - 16:13
Depuis 2010, Google a initié de nombreuses chasses aux bugs, ou Bug Bounty. En ce début d'année, Google dresse le bilan de 2017.
En 2017, Google a versé 2,9 millions de dollars de récompenses aux chercheurs en sécurité qui ont découvert des vulnérabilités dans ses produits. C'est un peu moins que 2016, année au cours de laquelle ce sont 3 millions de dollars qui ont été ainsi versés. Mais globalement le montant des primes a été plus élevé en 2017 puisque les chercheurs récompensés sont beaucoup moins nombreux : 274, contre 350 en 2016. Cela signifie donc que les découvertes sont d'un plus grand niveau technique, globalement.
La plus grosse prime, et prime record à ce jour, 112 500 dollars, a été emportée par le chercheur chinois Guang Gong qui a découvert une faille dans les smartphones Pixel permettant l'exécution de code arbitraire à distance. En seconde position, le chercheur de pseudonyme gzobqq s'est vu récompensé par 100 000 dollars pour avoir découvert une série de bugs répartis sur cinq composants, permettant l'exécution de code à distance en mode invité sur Chrome OS.
Google indique avoir le souhait de vouloir rendre Android encore plus sûr et regrette que "Personne n'a sollicité la meilleure récompense pour une chaîne d’exploits Android depuis plus de deux ans". Pour motiver les talents, Google porte les primes d'un exploit sur le TrustZone ou le Verified Boot de 50 000 à 200 000 dollars et les primes d'un exploit à distance sur le noyau de 30 000 à 150 000 dollars.