2,9 millions de dollars. Telle est la somme versée par Google en 2017 aux découvreurs de vulnérabilités dans ses produits et services. Ce montant est légèrement inférieur aux 3 millions de dollars payés aux chasseurs de bugs l'an dernier, sachant que le nombre de chercheurs rétribués sur l'année écoulée a chuté à 274 contre plus de 350 en 2016.
En 2017, la plus grande récompense a été attribuée à Guang Gong en août dernier. D'un montant de 112 500 dollars, cette dernière remercie le chercheur chinois d'avoir permis à Google de mettre à jour une chaine d'exploits affectant ses mobiles Pixel et combinant un bug d'exécution de code distant dans le processus de rendu Chrome avec une fuite de données dans le répertoire libgralloc d'Android. Parmi les autres versements importants, on trouve celui de 100 000 dollars remis à pwnium pour la découverte d'une chaine de bugs sur 5 composants permettant l'exécution de code distant dans le mode invité de Chrome OS.
Des récompenses d'exploits Android et de noyau revues à la hausse
Les récompenses de Google se situent généralement dans une fourchette allant de 500 à 100 000 dollars selon le type de bug et le temps passé. Il existe plusieurs programmes de bug bounty chez Google : celui pour lequel Guang Gong a été récompensé fait partie du Android Security Rewards, mais il y a aussi les Research Grants et Patch Rewards. Google a par ailleurs annoncé significativement augmenter le montant des prix pour plusieurs découvertes : « Personne n'a remporté la plus grande récompense pour une chaine d'exploit Android depuis plus de 2 ans, alors nous annonçons que celui-ci progressera de 50 000 à 200 000 dollars. Nous montons aussi le prix pour la découverte d'un exploit distant de noyau de 30 000 à 150 000 dollars », a indiqué la société. Avec l'augmentation de ces primes, nul doute que les chercheurs de bugs vont redoubler d'efforts pour espérer remporter la mise.
Commentaire