En 2021 Google a reversé 8,7 millions de dollars aux chasseurs de vulnérabilités

Noëllie Mautaint
14 février 2022 à 08h30
11
© Mitchell Luo via Unsplash.com
© Mitchell Luo via Unsplash.com

Il n'y a pas que les hackers qui peuvent récolter de grosses sommes grâce aux failles et aux vulnérabilités. Elles peuvent aussi être rentables pour les personnes plus bienveillantes qui participent à la chasse aux bugs des géants de la tech.

Rien qu’en 2021, Google a versé presque 9 millions de dollars aux chercheurs de son programme VRP (Vulnerability Reward Programs).

Presque 9 millions de dollars versés aux chercheurs

Face aux menaces plus grandissantes, les sommes versées aux chasseurs de vulnérabilités ne cessent d’augmenter. Rien qu’en 2021, Google les a rétribués à hauteur de 8,7 millions de dollars (7,6 millions euros), soit 2 millions de plus que l’année précédente. Les 696 chercheurs récompensés pour avoir découvert des bugs et failles logicielles sur Android, Google Chrome et les autres services web de la marque ont par ailleurs reversé 300 000 dollars de ce montant aux œuvres de charité de leur choix. 

Sur ce montant total, presque 3,3 millions de dollars ont été alloués aux failles de Chrome, dont 3,1 millions concernent le navigateur web et 250 000 dollars Chrome OS. Vient ensuite Android avec 2,9 millions de dollars versés aux contributeurs (contre 1,74 millions en 2020). Certaines failles rapportent néanmoins plus d’autres. Un signalement d’un défaut majeur d’Android s’est transformé en joli chèque de 157 000 dollars pour l’un des chasseurs. Du côté de Chrome OS la plus belle prime a été de 45 000 dollars et de 27 000 dollars sur Chrome. Si 2021 aura été prolifique pour les chercheurs en sécurité, Google se targue que personne n’a empoché la récompense de 1,5 million de dollars qui sera versée à celui ou celle qui mettra en défaut sa puce de sécurité Titan-M, présente dans les smartphones Pixel.

Source : 9to5Google

Noëllie Mautaint

Noëllie Mautaint

Fan absolue de jeux vidéo bercée par les RPG et les jeux à forte narration. Constituée à 80% de jeux vidéo, mangas, séries, cinéma, livres, musique et nouvelles technologies. Attention, peut mordre si...

Lire d'autres articles

Fan absolue de jeux vidéo bercée par les RPG et les jeux à forte narration. Constituée à 80% de jeux vidéo, mangas, séries, cinéma, livres, musique et nouvelles technologies. Attention, peut mordre si on critique à tort Final Fantasy X et XIII, Kingdom Hearts, The Last of Us, Life is Strange ou Avatar The Last Airbender.

Lire d'autres articles
Vous êtes un utilisateur de Google Actualités ou de WhatsApp ? Suivez-nous pour ne rien rater de l'actu tech !
google-news

A découvrir en vidéo

Rejoignez la communauté Clubic S'inscrire

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

S'inscrire

Commentaires (11)

kast_or
C’est beaucoup et peu à la fois.<br /> S’ils embauchaient ces personnes ils les paieraient sûrement au moins 150k/an.<br /> 9 millions ça équivaut donc à 60 personnes.<br /> J imagine qu il y a bien plus de 60 personnes qui bossent gratuitement à chercher des bugs.
DMartin
Je n’aurais pas dit mieux.
tfpsly
kast_or:<br /> S’ils embauchaient ces personnes ils les paieraient sûrement au moins 150k/an.<br /> Les GAFAM embauchent bien certaines de ces personnes. Chez Google c’est le Project Zero<br /> en.wikipedia.org<br /> Project Zero<br /> Project Zero is a team of security analysts employed by Google tasked with finding zero-day vulnerabilities. It was announced on 15 July 2014.<br /> After finding a number of flaws in software used by many end-users while researching other problems, such as the critical "Heartbleed" vulnerability, Google decided to form a full-time team dedicated to finding such vulnerabilities, not only in Google software but any software used by its users. The new project was announced on 15 July 2014 on Google's ...<br />
cid1
Heureusement que ce genre de belles primes existent, ça incite les informaticiens à chercher des bugs et en faire profiter tout le monde, ils reçoivent leur prime et ils sont content.
_Dorsoduro
En mm temps, l’un n’empeche pas l’autre. On imagine bien que google a dejà des equipes ultra dopé en interne qui debug aussi leur code en amont.
_Dorsoduro
Tu m’as grillé
jakadi
ce serait intéressant de savoir combien coûterait un département google chargé de chercher les failles.<br /> Car un calcul rapide donne : un smic (1000 euros mensuel pour simplifier) ça donne 12.000 euros par an.<br /> Il y a 696 chercheurs récompensés cette année.<br /> 696 * 12.000 = 8.3 millions.<br /> Donc, si google avait un service de recherche de bogues (le service QA ?) et qu’il avait embauché ces 696 chercheurs, ceux-ci auraient été payés au smic.<br /> Bravo google ! Il vaut mieux payer au coup par coup, plutôt que de se payer un service QA qui aurait coûté plus cher
MattS32
jakadi:<br /> Donc, si google avait un service de recherche de bogues (le service QA ?) et qu’il avait embauché ces 696 chercheurs, ceux-ci auraient été payés au smic.<br /> Oui, si ces chercheurs ont en moyenne passé l’équivalent d’un an à temps plein sur la faille qu’ils ont trouvée et communiquée à Google.<br /> En réalité, ils ont sans doute passé beaucoup moins de temps que ça, donc touché une rémunération très supérieure au SMIC.<br /> jakadi:<br /> Bravo google ! Il vaut mieux payer au coup par coup, plutôt que de se payer un service QA qui aurait coûté plus cher<br /> Là encore, c’est un sacré raccourci… Ces primes sont là pour récompenser ceux qui trouvent les failles qui sont passées malgré le travail du service QA, ce qui est inévitable sur des projets aussi gros. Le but n’est en aucun cas de remplacer le service QA, ni même de faire des économies dessus.<br /> Comme souligné plus haut, Google a d’ailleurs même un service (Project Zero) dédié à la recherche de failles, aussi bien dans ses produits que dans ceux des autres (parce qu’un œil extérieur, ça peut voir des choses qu’on n’arrive pas à voir en interne…), en plus des services QA liés à ses différents produits. Et c’est loin d’être le seul, toutes les grosses boîtes de ce genre ont un labo R&amp;D dédié à la sécurité.
kast_or
Oui oui, je suis bien d accord qu’ils ont aussi des armes de testeur/hacker en interne.<br /> Ce que je voulais dire c’est que les sommes versées paraissent importantes mais que c’est finalement pas cher payé.<br /> 40k pour une faille importantes, c’est pas un mec dans son garage qui trouve ça. C’est plutôt une équipe 4 chercheurs qui gagnent déjà bien leur vie.<br /> Et ça pour des dizaines d autres qui ont pas encore trouvé et bossent donc gratos.
_Dorsoduro
@kast_or je vois ce que tu veux dire mais en vrai. C pas comme sa qu’il faut raisonner. Le business plan de google c’est mettre à l épreuve leur code par tous. Hacker brillant ou chanceux tout le monde peux y jouer. Et les récompenses sont la pour motiver les plus doué à chercher et surtout leur remonter les pepites bugs les plus graves. C un peu c qui marque a linux. On est dans de l open source aussi mais le code est a mon sens nettement plus éprouvé. Google ne récompense pas les relecteurs de code. Il récompense les trouvailles selon leurs gravités. Et a ce jeu là il y a de plus en plus d argent qui tombent et en bonus coupe l herbe sous le pied des black hackers
Bombing_Basta
« Il n’y a pas que les hackers qui peuvent récolter de grosses sommes grâce aux failles et aux vulnérabilités. »<br /> Bien sûr que si !<br /> C’est pas mémé Michu qui va trouver des failles dans le dernier android à la mode hein !<br /> Qu’il soit white, grey ou dark, seul un hacker peut hacker sans sa mémé.
Voir tous les messages sur le forum

Top app & logiciels

Avast One
Avast One TÉLÉCHARGER
Opera
Opera TÉLÉCHARGER
Norton 360
Norton 360 TÉLÉCHARGER
CyberGhost VPN
CyberGhost VPN TÉLÉCHARGER
Bitdefender Total Security
Bitdefender Total Security TÉLÉCHARGER
Origin
Origin TÉLÉCHARGER
ChatGPT
ChatGPT TÉLÉCHARGER
WinRAR
WinRAR TÉLÉCHARGER
Paint.NET
Paint.NET TÉLÉCHARGER
Adobe Photoshop CC 2024
Adobe Photoshop CC 2024 TÉLÉCHARGER
Tous les logiciels
Haut de page

Sur le même sujet

En 2021 Google a reversé 8,7 millions de dollars aux chasseurs de vulnérabilités En 2021 Google a reversé 8,7 millions de dollars aux chasseurs de vulnérabilités
380 vulnérabilités recensées sur les services Apple en 2021... Safari figure en tête de liste 380 vulnérabilités recensées sur les services Apple en 2021... Safari figure en tête de liste
Ces applications préinstallées sur de nombreux smartphones permettent à des hackers de voler vos données Ces applications préinstallées sur de nombreux smartphones permettent à des hackers de voler vos données
147,9 millions de dollars : le prix pour des logiciels open source sécurisés 147,9 millions de dollars : le prix pour des logiciels open source sécurisés
Safari : cette faille vieille de 5 ans permettait à des hackers d'infecter vos appareils Apple Safari : cette faille vieille de 5 ans permettait à des hackers d'infecter vos appareils Apple