🔴 Soldes d'été : jusqu'à - 50% sur le high-tech 🔴 Soldes d'été : jusqu'à - 50% sur le high-tech

En 2021 Google a reversé 8,7 millions de dollars aux chasseurs de vulnérabilités

14 février 2022 à 08h30
11
Google logo neon © Mitchell Luo via Unsplash.com
© Mitchell Luo via Unsplash.com

Il n'y a pas que les hackers qui peuvent récolter de grosses sommes grâce aux failles et aux vulnérabilités. Elles peuvent aussi être rentables pour les personnes plus bienveillantes qui participent à la chasse aux bugs des géants de la tech.

Rien qu’en 2021, Google a versé presque 9 millions de dollars aux chercheurs de son programme VRP (Vulnerability Reward Programs).

Presque 9 millions de dollars versés aux chercheurs

Face aux menaces plus grandissantes, les sommes versées aux chasseurs de vulnérabilités ne cessent d’augmenter. Rien qu’en 2021, Google les a rétribués à hauteur de 8,7 millions de dollars (7,6 millions euros), soit 2 millions de plus que l’année précédente. Les 696 chercheurs récompensés pour avoir découvert des bugs et failles logicielles sur Android, Google Chrome et les autres services web de la marque ont par ailleurs reversé 300 000 dollars de ce montant aux œuvres de charité de leur choix. 

Sur ce montant total, presque 3,3 millions de dollars ont été alloués aux failles de Chrome, dont 3,1 millions concernent le navigateur web et 250 000 dollars Chrome OS. Vient ensuite Android avec 2,9 millions de dollars versés aux contributeurs (contre 1,74 millions en 2020). Certaines failles rapportent néanmoins plus d’autres. Un signalement d’un défaut majeur d’Android s’est transformé en joli chèque de 157 000 dollars pour l’un des chasseurs. Du côté de Chrome OS la plus belle prime a été de 45 000 dollars et de 27 000 dollars sur Chrome. Si 2021 aura été prolifique pour les chercheurs en sécurité, Google se targue que personne n’a empoché la récompense de 1,5 million de dollars qui sera versée à celui ou celle qui mettra en défaut sa puce de sécurité Titan-M, présente dans les smartphones Pixel .

Source : 9to5Google

Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
11
9
kast_or
C’est beaucoup et peu à la fois.<br /> S’ils embauchaient ces personnes ils les paieraient sûrement au moins 150k/an.<br /> 9 millions ça équivaut donc à 60 personnes.<br /> J imagine qu il y a bien plus de 60 personnes qui bossent gratuitement à chercher des bugs.
DMartin
Je n’aurais pas dit mieux.
tfpsly
kast_or:<br /> S’ils embauchaient ces personnes ils les paieraient sûrement au moins 150k/an.<br /> Les GAFAM embauchent bien certaines de ces personnes. Chez Google c’est le Project Zero<br /> en.wikipedia.org<br /> Project Zero<br /> Project Zero is a team of security analysts employed by Google tasked with finding zero-day vulnerabilities. It was announced on 15 July 2014.<br /> After finding a number of flaws in software used by many end-users while researching other problems, such as the critical "Heartbleed" vulnerability, Google decided to form a full-time team dedicated to finding such vulnerabilities, not only in Google software but any software used by its users. The new project was announced on 15 July 2014 on Google's ...<br />
cid1
Heureusement que ce genre de belles primes existent, ça incite les informaticiens à chercher des bugs et en faire profiter tout le monde, ils reçoivent leur prime et ils sont content.
_Dorsoduro
En mm temps, l’un n’empeche pas l’autre. On imagine bien que google a dejà des equipes ultra dopé en interne qui debug aussi leur code en amont.
_Dorsoduro
Tu m’as grillé
jakadi
ce serait intéressant de savoir combien coûterait un département google chargé de chercher les failles.<br /> Car un calcul rapide donne : un smic (1000 euros mensuel pour simplifier) ça donne 12.000 euros par an.<br /> Il y a 696 chercheurs récompensés cette année.<br /> 696 * 12.000 = 8.3 millions.<br /> Donc, si google avait un service de recherche de bogues (le service QA ?) et qu’il avait embauché ces 696 chercheurs, ceux-ci auraient été payés au smic.<br /> Bravo google ! Il vaut mieux payer au coup par coup, plutôt que de se payer un service QA qui aurait coûté plus cher
MattS32
jakadi:<br /> Donc, si google avait un service de recherche de bogues (le service QA ?) et qu’il avait embauché ces 696 chercheurs, ceux-ci auraient été payés au smic.<br /> Oui, si ces chercheurs ont en moyenne passé l’équivalent d’un an à temps plein sur la faille qu’ils ont trouvée et communiquée à Google.<br /> En réalité, ils ont sans doute passé beaucoup moins de temps que ça, donc touché une rémunération très supérieure au SMIC.<br /> jakadi:<br /> Bravo google ! Il vaut mieux payer au coup par coup, plutôt que de se payer un service QA qui aurait coûté plus cher<br /> Là encore, c’est un sacré raccourci… Ces primes sont là pour récompenser ceux qui trouvent les failles qui sont passées malgré le travail du service QA, ce qui est inévitable sur des projets aussi gros. Le but n’est en aucun cas de remplacer le service QA, ni même de faire des économies dessus.<br /> Comme souligné plus haut, Google a d’ailleurs même un service (Project Zero) dédié à la recherche de failles, aussi bien dans ses produits que dans ceux des autres (parce qu’un œil extérieur, ça peut voir des choses qu’on n’arrive pas à voir en interne…), en plus des services QA liés à ses différents produits. Et c’est loin d’être le seul, toutes les grosses boîtes de ce genre ont un labo R&amp;D dédié à la sécurité.
kast_or
Oui oui, je suis bien d accord qu’ils ont aussi des armes de testeur/hacker en interne.<br /> Ce que je voulais dire c’est que les sommes versées paraissent importantes mais que c’est finalement pas cher payé.<br /> 40k pour une faille importantes, c’est pas un mec dans son garage qui trouve ça. C’est plutôt une équipe 4 chercheurs qui gagnent déjà bien leur vie.<br /> Et ça pour des dizaines d autres qui ont pas encore trouvé et bossent donc gratos.
_Dorsoduro
@kast_or je vois ce que tu veux dire mais en vrai. C pas comme sa qu’il faut raisonner. Le business plan de google c’est mettre à l épreuve leur code par tous. Hacker brillant ou chanceux tout le monde peux y jouer. Et les récompenses sont la pour motiver les plus doué à chercher et surtout leur remonter les pepites bugs les plus graves. C un peu c qui marque a linux. On est dans de l open source aussi mais le code est a mon sens nettement plus éprouvé. Google ne récompense pas les relecteurs de code. Il récompense les trouvailles selon leurs gravités. Et a ce jeu là il y a de plus en plus d argent qui tombent et en bonus coupe l herbe sous le pied des black hackers
Bombing_Basta
« Il n’y a pas que les hackers qui peuvent récolter de grosses sommes grâce aux failles et aux vulnérabilités. »<br /> Bien sûr que si !<br /> C’est pas mémé Michu qui va trouver des failles dans le dernier android à la mode hein !<br /> Qu’il soit white, grey ou dark, seul un hacker peut hacker sans sa mémé.
Voir tous les messages sur le forum

Lectures liées

Ameli : une campagne de phishing continue sur le site de l’assurance maladie, êtes-vous concerné ?
CyberGhost propose un prix délirant sur son VPN pour les soldes !
Ce VPN propose désormais des serveurs à 10Gb/s pour des connexions plus rapides et plus stables
Soldes NordVPN : cette offre sur ce VPN est tout simplement incroyable !
Piratage : finalement le service de gestion de flux Xstream-Codes est déclaré « légal »
CyberGhost : le meilleur VPN du marché fracasse les soldes d'été !
VPN pas cher : CyberGhost, NordVPN et Surfshark sont à prix vraiment MINI !
Google alerte sur un nouveau logiciel espion, votre smartphone est-il infecté ?
Safari : cette faille vieille de 5 ans permettait à des hackers d'infecter vos appareils Apple
Pendant les soldes, profitez d'un prix fou sur le VPN de CyberGhost
Haut de page