Depuis 2010, Google a versé à tous les chercheurs ayant réussi à pointer une faille dans ses différentes solutions 15 millions de dollars. Pour l’année 2018, 317 personnes ont été récompensés pour un total de 3,4 millions de dollars versés.
Parmi les 3,4 M$ versés en récompenses au bug bounties de Google en 2018, la moitié concernait des problèmes dans Chrome ou Android. (Crédit : Google)
« Le but du programme est simple : encourager les chercheurs à remonter des problèmes pour nous permettre de les corriger rapidement et maintenir les données de nos utilisateurs en sécurité. » C’est ainsi que Google résume la raison d’être de son bug bounty, lancé pour la première fois en 2010. Les participants doivent trouver des failles potentielles dans les outils de la multinationale et sont récompensés par des prix allant de 100 à 200 000 $ selon le niveau de risque de la faille découverte. Et depuis le lancement de ce programme, Google a versé 15 M$.
En 2018, ce sont 3,4 M$ qui ont été remportés par 317 chercheurs, venus de 78 pays différents. La plus grosse somme remportée s’élève à 41 000 $. Parmi les candidats ayant participé et remporté un prix lors des différents bug bounties de Google l’année dernière, le groupe cite Ezequiel Pereira, Uruguayen de seulement 19 ans, qui a découvert un bug RCE (Remote Code Execution) qui lui permettait d’accéder à distance à la console GCP du fournisseur. D’autre part, 181 000 $ de ces récompenses ont été reversées à des associations, soit 5 % des récompenses totales. Comparé à 2017, les sommes versées en récompense ont augmenté de 500 000 $. Mais les participants étaient moins nombreux en 2017 (274).