Les programmes de primes aux bogues peuvent parfois en dire autant sur la volonté d’une organisation de travailler avec des chercheurs en sécurité externes pour identifier et corriger les vulnérabilités de sécurité de leurs produits que sur leur exposition potentielle à des attaques potentielles ciblant leurs technologies.

Selon cette mesure, les plates-formes Android, Chrome et Play de Google continuent d’être des environnements riches en vulnérabilités pour les mauvais acteurs à cibler. L’année dernière, Google a payé un record 8,7 millions de dollars en récompenses à 696 chasseurs de bogues tiers de 62 pays qui ont découvert et signalé des milliers de vulnérabilités dans les technologies de l’entreprise.

Ce montant représentait une augmentation de près de 30 % par rapport aux 6,7 millions de dollars de récompenses que Google a payées aux chasseurs de bogues en 2020. Une partie de l’augmentation était liée à des paiements plus élevés pour certains types de découvertes de bogues. Mais beaucoup était également lié au nombre relativement élevé de failles que les chercheurs continuent de découvrir dans certaines des technologies de base de Google.

Plus de vulnérabilités Chrome
Chrome en est un exemple. En 2021, les chasseurs de bogues qui ont participé au programme de récompenses de vulnérabilité de Google ont signalé un total de 333 bogues de sécurité Chrome uniques, soit environ 10 % de plus que les 300 bogues Chrome divulgués en 2020. Au total, Google a versé 3,3 millions de dollars à 115 chercheurs du monde entier qui ont trouvé et ont signalé des vulnérabilités Chrome à l’entreprise en 2021. Cela se compare à 2,1 millions de dollars de récompenses l’année précédente, ce qui était lui-même supérieur de 83 % à celui de 2019. La plupart (3,1 millions de dollars) des paiements Chrome sont allés à des chercheurs qui ont signalé des bogues de sécurité dans le navigateur Chrome. Google a payé 250 000 $ pour des bogues dans Chrome OS, y compris une récompense maximale de 45 000 $ pour un bogue d’escalade de privilèges.

Le système d’exploitation Android de Google a également continué à être riche en cibles. L’année dernière, la société a payé 3 millions de dollars aux chasseurs de bogues qui ont signalé des défauts d’Android, ce qui a presque doublé par rapport aux 1,7 million de dollars de l’année précédente. Seuls deux principaux chasseurs de bogues du programme de récompenses de vulnérabilité Android ont signalé un nombre stupéfiant de 360 ​​vulnérabilités valides à Google en 2021. L’un d’eux, le chercheur Aman Pandey, a soumis 232 vulnérabilités, tandis que l’autre, Yu-Cheng Lin, a signalé 128 bogues. Google a également versé son paiement le plus élevé jamais enregistré pour une vulnérabilité Android en 2021 – 157 000 $ à un chercheur qui a découvert un exploit critique dans la technologie

Publicité

La récompense que Google a versée aux chasseurs de bogues qui ont signalé des vulnérabilités dans Google Play a également doublé, passant de 270 000 $ en 2020 à 550 000 $ en 2021.

En 2021, Google a lancé un portail public des chercheurs qui rassemble tous les programmes de récompenses de vulnérabilité de l’entreprise, y compris ceux pour Chrome, Android, Play. Le portail est conçu pour faciliter les soumissions de bogues et pour donner aux chercheurs participant au programme plus d’opportunités d’interagir les uns avec les autres, selon la société.

Projet Zéro
Entre-temps, nouvelles données de Googleégalement publié cette semaine, a montré que les chasseurs de bogues de l’équipe Project Zero de l’entreprise ont découvert et signalé 376 problèmes de sécurité dans les technologies appartenant à divers autres fournisseurs entre 2019 et 2021.

L’analyse de la société a montré que 351 des bogues ont été corrigés, tandis que les autres ont été marqués comme des problèmes que les fournisseurs respectifs ne résoudront pas. Quatre-vingt-seize bugs, soit 26 % du total des vulnérabilités découvertes par l’équipe Project Zero entre 2019 et 2021, impliquaient des technologies Microsoft, 85 étaient liés à Apple et 60 étaient liés aux technologies Google. Parmi ces fournisseurs, Google a été le plus rapide à traiter les vulnérabilités divulguées. En moyenne, l’entreprise a mis 44 jours pour corriger une faille, contre 69 pour Apple et 83 jours pour Microsoft.

Rate this post
Publicité
Article précédentLe quatrième opérateur 5G chinois ouvrira l’enregistrement en mai · TechNode
Article suivantDragon Ball Super Super Hero Images Explorez le nouveau look de Gohan
Avatar
Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

ARTICLES CONNEXESPLUS DE L'AUTEUR

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici