C'est une bonne situation, ça, chasseur de bug pour Google ? (spoiler : oui)

Stéphane Ficca
Spécialiste hardware & gaming
23 février 2023 à 18h00
17
© Mitchell Luo / Unsplash
© Mitchell Luo / Unsplash

Google a récemment publié son compte-rendu en ce qui concerne ses Vulnerability Reward Programs (VRP) en 2022.

Et force est d'admettre que la chasse aux bugs peut rapporter gros chez Google.

12 millions de dollars de primes pour les chasseurs de bugs

Dans un billet de blog, Google fait le bilan de l'année 2022 en ce qui concerne son programme de chasse aux bugs « Vulnerability Reward Programs ». Au total, en travaillant avec des chercheurs en sécurité tout au long de l'année écoulée, Google indique avoir pu identifier (et corriger !) plus de 2 900 failles.

© Google
© Google

Le géant américain annonce que son programme VRP ne cesse de croitre au fil des années, si bien que l'année 2022 a constitué un nouveau record. « En 2022, nous avons attribué plus de 12 millions de dollars de primes, les chercheurs ayant fait don de plus de 230 000 dollars à l'organisation caritative de leur choix », indique Google.

Le bug qui valait 605 000 dollars !

La récompense la plus élevée est à mettre au crédit d'une chaîne de cinq bugs, identifiés par l'utilisateur gzobqq, et qui lui ont permis de glaner la somme de… 605 000 dollars ! C'est ce même gzobqq qui avait identifié une autre faille critique sur Android en 2021, empochant alors une récompense de 157 000 dollars.

Au total, Google a versé pas moins de 4,8 millions de dollars de récompenses dans le cadre de son VRP pour Android. Certains utilisateurs ont ainsi remonté plusieurs dizaines de bugs au géant américain, Aman Pandey de Bugsmirror en totalisant même plus de 200.

Le programme dédié à Chrome a lui aussi connu un vif succès, avec un total de 470 bugs remontés et corrigés, pour 4 millions de dollars de récompenses cumulées. Sur ces 4 millions de dollars, 3,5 millions ont été attribués pour 363 bugs de sécurité identifiés dans le navigateur Chrome, le reste ayant été attribué pour un peu plus d'une centaine de bugs découverts au sein de ChromeOS.

En 2023, Google entend bien poursuivre le développement de son programme VRP. Ceux qui souhaitent faire partie de l'équipe des « bugs hunters » sont invités à se manifester directement à cette adresse.

Source : Bleeding Computer

Stéphane Ficca

Stéphane Ficca

Spécialiste hardware & gaming

Spécialiste hardware & gaming

Fervent amateur de jeux vidéo et de high-tech, spécialisé en Mega Man 2 et autres joyeusetés vidéoludiques ancestrales.

Lire d'autres articles

Fervent amateur de jeux vidéo et de high-tech, spécialisé en Mega Man 2 et autres joyeusetés vidéoludiques ancestrales.

Lire d'autres articles
Vous êtes un utilisateur de Google Actualités ou de WhatsApp ? Suivez-nous pour ne rien rater de l'actu tech !
google-news

A découvrir en vidéo

Rejoignez la communauté Clubic S'inscrire

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

S'inscrire

Commentaires (17)

MattS32
La réponse est non, pas oui.<br /> C’est certes une bonne chose de récompenser ceux qui trouvent des failles, mais c’est aussi et surtout en moyen d’assurer la sécurité d’un produit à moindre coût en faisant travailler des gens dessus gratuitement.<br /> Parce que pour un type qui touche le jackpot parce qu’il a trouvé LA faille grave qui rapporte, t’en as 10 qui touchent des clopinettes alors qu’ils ont travaillé des heures mais n’ont trouvé que des petites failles rapportant peu et 100 qui touchent rien du tout malgré des heures à bosser…<br /> C’est comme les boîtes qui organisent des concours de design pour leur nouveau produit ou leur nouveau logo… Elles ont ainsi des propositions de dizaines de graphistes et designers, mais n’en payent qu’un seul, celui qui est finalement retenu…
Panicstation
Vous savez, moi je ne crois pas qu’il y ait de bonne ou de mauvaise situation. Moi, si je devais résumer ma vie aujourd’hui avec vous, je dirais que c’est d’abord des rencontres. Des gens qui m’ont tendu la main, peut-être à un moment où je ne pouvais pas, où j’étais seul chez moi. Et c’est assez curieux de se dire que les hasards, les rencontres, forgent une destinée… Parce que quand on a le goût de la chose, quand on a le goût de la chose bien faite, le beau geste, parfois on ne trouve pas l’interlocuteur en face je dirais, le miroir qui vous aide à avancer. Alors ça n’est pas mon cas, comme je disais là, puisque moi au contraire, j’ai pu : et je dis merci à la vie, je lui dis merci, je chante la vie, je danse la vie… je ne suis qu’amour ! Et finalement, quand beaucoup de gens aujourd’hui me disent « Mais comment fais-tu pour avoir cette humanité ? », et bien je leur réponds très simplement, je leur dis que c’est ce goût de l’amour ce goût donc qui m’a poussé aujourd’hui à entreprendre une construction mécanique, mais demain qui sait ? Peut-être simplement à me mettre au service de la communauté, à faire le don, le don de soi…
ayaredone
C’est un peu comme la loterie. Ils jouent en espérant gagner aussi.
MattS32
Sauf que la loterie, c’est un jeu, pas un travail. Là ils fournissent bien un travail. C’est comme si dans une entreprise avec 100 salariés y en avait 90 qui ne sont pas payés, 9 qui sont payés à peu près normalement et 1 qui est payé comme 10 pour faire rêver les 90 pigeons et les inciter à continuer à travailler… Ou comme si la Française des Jeux te demandait de travailler 1 semaine pour elle pour pouvoir valider un ticket de loto <br /> Google paie l’équivalent de ce que lui coûteraient au grand max 60 ETP d’experts en sécurité. Mais largement plus de 60 ETP travaillent ainsi pour lui…
ayaredone
Ils ne sont pas employés par Google mais ils doivent, pour la plupart, avoir un travail ailleurs.<br /> Ils font ça sur leur temps personnel donc oui ils jouent et espèrent trouver LE bug qui rapporte un max.<br /> Personne ne les oblige. C’est leur choix personnel.
MattS32
ayaredone:<br /> Ils ne sont pas employés par Google mais ils doivent, pour la plupart, avoir un travail ailleurs.<br /> Ça ne change rien au fait qu’ils travaillent en plus gratuitement pour Google, qui profites bien.<br /> ayaredone:<br /> Personne ne les oblige. C’est leur choix personnel.<br /> Oui, c’est toute la « beauté » de l’esclavagisme moderne. Réussir à faire travailler les gens gratuitement et volontairement <br /> On verra si tu applaudiras toujours ça le jour où ton patron décidera de te remplacer par 10 gugus qui travaillent gratos en espérant toucher le pactole
ayaredone
Mais peut-être que ces gens n’ont pas tous envie de travailler pour Google et veulent rester indépendants.<br /> Peut-être que leur niveau n’est pas assez élevé pour travailler chez Google (ceux qui ne trouvent rien ou des bugs mineurs)<br /> Peut-être que les cadors préfèrent gagner des centaines de millers de dollars de chez eux et partir 6 mois en vacances.<br /> D’autres arrondissent peut-être juste leur fin de mois avec ce moyen.<br /> Vous croyez vraiment que vous savez tout et que vous avez raison à coup sûr sans connaître les motivations de ces chasseurs de bugs ?<br /> Une opinion n’est pas la verité
MattS32
ayaredone:<br /> Mais peut-être que ces gens n’ont pas tous envie de travailler pour Google<br /> C’est pourtant ce qu’ils font. À partir du moment où tu commences à chercher des failles de sécurité dans un produit Google dans le but de signaler ces failles à Google, de fait, tu travailles pour Google. Sans lien hiérarchique et sans contrat, donc avec toute liberté d’arrêter quand tu veux, mais ils travaillent bien pour Google.<br /> ayaredone:<br /> Vous croyez vraiment que vous savez tout et que vous avez raison à coup sûr sans connaître les motivations de ces chasseurs de bugs ?<br /> Ai-je parlé de leur motivations ? Non. J’ai juste dit qu’ils travaillent gratuitement et que Google en profite. Ça c’est un fait.
ayaredone
Un fait (prouvé) ou une opinion ?<br /> C’est plutôt une opinion, posée avec aplomb, mais sans argument.<br /> Mon opinion c’est que ces gens travaillent pour eux avant tout puisqu’ils en tirent une compensation financière. Mais c’est une opinion.<br /> NB : j’aurais dû écrire CHEZ google et pas POUR Google.
MattS32
ayaredone:<br /> Un fait (prouvé) ou une opinion ?<br /> Non, c’est bien un fait : ils donnent de leur temps à une entreprise. C’est un peu la définition même de « travailler pour une entreprise ». Mais ils le font bénévolement, et sans doute pour certains sans vraiment se rendre compte qu’ils travaillent pour Google, contrairement à un employé ou un prestataire qui se fait payer pour le temps qu’il a donné.<br /> Google par contre se rend bien compte que des gens travaillent pour elle gratuitement…<br /> ayaredone:<br /> Mon opinion c’est que ces gens travaillent pour eux avant tout puisqu’ils en tirent une compensation financière.<br /> Non, l’écrasante majorité n’en tire justement pas un centime. C’est là toute l’astuce de ce mode de fonctionnement, comme l’entreprise paye au résultat et pas au temps consacré, elle ne paye qu’une fraction du temps de travail effectué…<br /> C’est le même principe que les livreurs Deliveroo et Uber qui ne sont pas payés pour les temps d’attente, contrairement aux livreurs salariés par exemple, alors qu’ils sont bien à la disposition de l’entreprise pendant ce temps d’attente.<br /> ayaredone:<br /> NB : j’aurais dû écrire CHEZ google et pas POUR Google.<br /> Et moi je dis bien pour Google, pas chez Google. Car oui, c’est sûr, ils ne travaillent pas chez Google. Mais ils travaillent bien pour Google.
mcbenny
Comme montré dans l’article par le fait que certains trouvent plusieurs bugs, et dans différents systèmes, ces gens sont des professionnels. Leur travail officiel c’est trouver ces bugs. Et ils sont rémunérés pour.<br /> Evidemment, un gugusse lambda peut lui aussi trouver un bug et toucher 100000$, et c’est l’histoire dont tout le monde va rêver, qui va faire que plein de gens vont chercher des bugs quelques jours ou semaines et ne rien trouver.<br /> Là où on peut trouver les choses inégales c’est que même les « pros », quand ils cherchent et ne trouvent pas, ce qui est la majorité du temps, ils travaillent… mais ne touchent rien.<br /> C’est le vendeur d’aspirateur « indépendant » qui va vendre un aspirateur tous les 5 jours alors qu’il a frappé à 100 portes. Le fabricant d’aspirateur ne paye que les portes qui rapportent. Tous les échecs sont au frais de vendeur qui n’a pas « su vendre », et il touche un petit quelque chose sur les succès.<br /> Revoir « Les portes de la gloire » (Les portes de la gloire (2001) - IMDb).
ayaredone
Il est évident que nous ne sommes pas d’accord sur le fait que les chasseurs de bugs choisissent de faire ce travail, avec ses avantages et ses inconvénients.<br /> Pour moi ils font le choix de toucher le pactole en découvrant un bug majeur. Certains y arrivent et gagnent très bien leur vie, beaucoup d’autres non.<br /> Je pense que la notion de choix est fondamentale. Ces personnes choisissent cette activité, personne ne les contraints. S’ils n’y trouvaient pas un intérêt, ils ne le feraient pas.<br /> Est-ce que Google en abuse ? Est-ce que Google pourrait embaucher plus ? C’est possible mais on n’en sait rien. Dire le contraire est clairement un avis personnel mais pas un fait prouvé.
MattS32
ayaredone:<br /> Je pense que la notion de choix est fondamentale. Ces personnes choisissent cette activité, personne ne les contraints. S’ils n’y trouvaient pas un intérêt, ils ne le feraient pas.<br /> Bien sûr qu’ils le choisissent et ne sont pas contraints. Encore heureux. Ça n’en reste pas moins du travail fournit gratuitement à une boîte qui aurait largement les moyens de le payer.<br /> Et le problème, c’est que c’est un modèle économique qui est en train petit à petit, sous diverses formes (l’uberisation des métiers non qualifiés, les bugs bounty pour remplacer les équipes de test dans le logiciel, les « concours » de design, de photo, etc…), de remplacer le travail « classique », parce que les entreprises y trouvent largement leur compte…<br /> Et je trouve donc fort dommage qu’un article titre ainsi sur le fait que chercheur de bug chez Google soit une bonne situation, incitant presque les lecteurs à participer (cf dernier paragraphe), sans rappeler le fait que dans l’écrasante majorité des cas, les mecs bossent gratos, donc qu’en fait la situation n’est pas si bonne que ça… alors que non… Certes, y a un mec qui a touché 600 000 dollars… Mais en moyenne, c’est 4000$ par bug et 17 000$ par personne rémunérée (pour les 700 personnes qui ont effectivement touché quelque chose) et sans doute en moyenne largement moins de 1700$ par personne ayant travaillé dans le cadre de ce programme (bien sûr Google ne communique pas ce chiffre là… mais par contre ils disent que 90% des rapports de bugs reçus dans le cadre du programme ne donnent pas lieu à rémunération, donc il ne me semble pas exagéré de considérer qu’il y a au moins 10 fois plus de personnes non rémunérées que de personnes rémunérées, puisqu’en plus des 90% rapports ne donnant pas suite à rémunération, y a aussi tous les gens qui ont passé du temps sans rien trouver du tout, donc sans même soumettre un rapport…<br /> C’est un peu comme si on nous présentait livreur Deliveroo comme une super situation en mettant en avant les gains réalisés par ceux qui sont dans le top 0.1% des rémunérations sur Deliveroo, mais sans rappeler qu’il y en a une bonne part qui ne touchent même pas un SMIC, et avec tous les risques à leur charge (et encore, maintenant côté Deliveroo ça s’est un peu amélioré, face aux accusations de travail déguisé l’entreprise a fini par consentir à garantir un minimum horaires aux livreurs même s’ils ne font pas de course… ce qui n’est pas encore le cas pour les chasseurs de bugs).
ayaredone
Nous avons bien débattu <br /> Même si nous ne sommes pas d’accord je reconnais que votre point de vue se défend.<br /> Mais peut-être que le sujet est plus complexe que ça et que Clubic n’est pas le site adapté pour en parler
StephaneGotcha
Je suppose que 90% des bugs trouvés le sont par des professionnels qui font ça sur leur temps libre ou même par ce que c’est leur job!<br /> Assurément le « geek » qui cherche 12h par jour les bugs dans son garage ramasse des clopinettes.
LeChien
Quel débat étrange… A lire certaines interventions, on croirait que Google (et autres éditeurs) a trouvé un vivier d’esclaves n’ayant pas d’autre choix que d’accepter travailler pour lui.<br /> Je crois surtout que ces bug hunters ont fait un choix (totalement révocable de leur propre chef) en toute connaissance de cause.<br /> Certains font ça juste par passion, d’autres sans doute dans l’espoir de toucher la mise auprès de différents programmes bounty d’éditeurs, d’autres ponctuellement parce qu’ils sont tombés sur un truc et souhaitent le remonter avec ou sans idée de gain, bref.<br /> Je crois que l’image du geek enfermé dans son garage est un stéréotype éculé.
Voir tous les messages sur le forum

Top app & logiciels

Avast One
Avast One TÉLÉCHARGER
Opera
Opera TÉLÉCHARGER
Norton 360
Norton 360 TÉLÉCHARGER
CyberGhost VPN
CyberGhost VPN TÉLÉCHARGER
Bitdefender Total Security
Bitdefender Total Security TÉLÉCHARGER
Origin
Origin TÉLÉCHARGER
ChatGPT
ChatGPT TÉLÉCHARGER
WinRAR
WinRAR TÉLÉCHARGER
Paint.NET
Paint.NET TÉLÉCHARGER
Adobe Photoshop CC 2024
Adobe Photoshop CC 2024 TÉLÉCHARGER
Tous les logiciels
Haut de page

Sur le même sujet

C'est une bonne situation, ça, chasseur de bug pour Google ? (spoiler : oui) C'est une bonne situation, ça, chasseur de bug pour Google ? (spoiler : oui)
Mettez vite à jour votre navigateur Chrome, une faille critique de sécurité a été découverte Mettez vite à jour votre navigateur Chrome, une faille critique de sécurité a été découverte
Uber : comment l'ex-responsable de la sécurité a caché une faille ultra-massive Uber : comment l'ex-responsable de la sécurité a caché une faille ultra-massive
Salaire à vie, vêtements de luxe et voyages ? Une centaine d'investisseurs portent plainte contre des influenceurs NFT Salaire à vie, vêtements de luxe et voyages ? Une centaine d'investisseurs portent plainte contre des influenceurs NFT
Que font les fabricants ? Des millions de téléphones menacés par une faille sévère révélée depuis des mois ! Que font les fabricants ? Des millions de téléphones menacés par une faille sévère révélée depuis des mois !