Dans un article de blog, Google a révélé qu’Aman Pandey, chercheur indien en cybersécurité et fondateur et PDG de Bugsmirror, était l’un des meilleurs chercheurs du Vulnerability Reward Program (VRP) du géant de la technologie l’année dernière. Pandey a découvert et soumis 232 vulnérabilités dans Android juste l’année dernière. Il signalait des failles depuis 2019 et a jusqu’à présent soumis plus de 280 vulnérabilités valides au programme Android, selon le billet de blog.
La plupart des entreprises technologiques telles que PommeGoogle, Microsoft et d’autres rémunèrent les chercheurs pour tout « bogue » ou défaut logiciel que ces chercheurs peuvent localiser dans leurs produits. Les récompenses sont communément appelées « Bugs bounty ».
« Je travaille dans la recherche sur la sécurité depuis près de quatre ans maintenant. Et la passion incessante et le travail acharné de l’équipe Bugsmirror envers la recherche sur la sécurité nous ont aidés à concevoir et développer localement des applications intégrées avec des algorithmes. Ceux-ci nous ont aidés à localiser les vulnérabilités à une vitesse et une précision inégalées. Des programmes comme celui-ci (celui de Google) ont aidé non seulement des sociétés de recherche comme la nôtre, mais même les utilisateurs généraux à comprendre l’importance de la recherche sur la confidentialité et la sécurité », a déclaré Pandey. indianexpress.com.
Selon Google, il a versé 8,7 millions de dollars dans le cadre de son programme de récompense de vulnérabilité (VRP) en 2021. Pour Android seul, ce nombre s’élevait à 3 millions de dollars (2 935 244 $ ou environ Rs 22 crore) en récompenses. C’était presque le double du chiffre de l’année précédente. Au total, 119 chercheurs du monde entier ont été récompensés pour avoir découvert des failles critiques dans Android.
Le programme a également accordé le paiement le plus élevé de l’histoire cette année : 157 000 $ pour une chaîne d’exploitation découverte dans Android. Il a également offert une prime de 1,5 million de dollars pour trouver des compromis dans sa puce de sécurité Titan-M que la société utilise dans ses appareils mobiles Pixel. Le prix reste non réclamé jusqu’à présent.
Le billet de blog fait également une mention spéciale à Yu-Cheng Lin, un chercheur chinois en sécurité Android, qui a soumis un total de 128 rapports valides en 2021.
Le programme de primes aux bogues de Google pour son navigateur Chrome a vu un total de 3 288 000 $ (environ Rs 24,6 crores) être donné à 115 chercheurs. Sur le montant total, 3,1 millions de dollars ont été attribués pour les vulnérabilités du navigateur Chrome et 250 000 $ pour les vulnérabilités de Chrome OS.
Le chercheur Chrome OS VRP, Rory McNamara, a remporté 45 000 $, le prix unique le plus élevé décerné dans le programme, pour avoir signalé un bogue d’élévation des privilèges root. De telles failles peuvent permettre à un attaquant d’obtenir un accès illicite à des droits et privilèges élevés avec un appareil ou ce que l’on appelle également le privilège d’accès root.
Le Google Play VRP a versé 550 000 $ en récompenses à 60 chercheurs en sécurité. Les gagnants du Google Cloud Platform VRP pour 2021 n’ont pas été annoncés.