Dans l’examen annuel de son programme de récompenses pour les vulnérabilités (VRP), Google a déclaré jeudi avoir accordé plus de 8,7 millions de dollars aux chercheurs en sécurité sous la forme de primes de bogues pour des milliers de vulnérabilités signalées dans les produits Google.
Ce chiffre est en hausse par rapport aux 6,7 millions de dollars que Google a versés aux chercheurs en sécurité l’année précédente en 2020.
Parmi ceux-ci, 3 millions de dollars sont allés aux vulnérabilités d’Android, 3,3 millions de dollars aux bogues du navigateur Chrome, 0,5 million de dollars aux vulnérabilités de Google Play Store et 0,313 million de dollars aux bogues de Google Cloud.
Au total, 696 chercheurs sont rentrés chez eux avec des primes de Google l’année dernière, et la plus haute récompense décernée était de 157 000 $ pour une chaîne d’exploitation Android, a déclaré la société dans un communiqué. article de blog hier.
Malheureusement, personne n’a encore réclamé la récompense de 1,5 million de dollars offerte pour la première fois par Google. de retour en 2019 à tous ceux qui ont réussi à pirater Titan M, la puce de sécurité fournie avec les smartphones Google Pixel.
Dans l’ensemble, pour mettre les récompenses en perspective, Microsoft a signalé en juillet 2021 qu’il avait payé ses chasseurs de bogues 13,6 millions de dollars pour 1 261 bogues signalés entre le 1er juillet 2020 et le 30 juin 2021.
Mais Google a également déclaré que 2021 était une année réussie non seulement en raison des primes record qu’il a accordées, mais aussi en raison des nouveaux programmes qu’il a lancés.
Le premier a été le lancement du Portail Google Bug Huntersun classement pour sa communauté de bug bounty.
La seconde était une nouvelle section dans son VRP nommée Android Chipset Security Reward Program (ACSRP), un programme conjoint avec plusieurs fournisseurs de smartphones où ils récompensaient les chercheurs en sécurité pour les bogues trouvés dans les chipsets des fournisseurs Android. Google a déclaré qu’au cours de sa première année, ce programme avait distribué 296 000 $ pour plus de 220 rapports de sécurité valides et uniques.
De plus, Google a également statistiques publiées de Project Zero, sa propre équipe de chasseurs de bogues, et sur leurs efforts pour signaler les bogues à d’autres entreprises. Selon Google, son équipe Project Zero a déclaré avoir constaté une amélioration du temps nécessaire pour corriger les bogues de sécurité, généralement corrigés en 52 jours, contre 80 jours il y a trois ans.