Sécurité IT : Google paie un demi-million de dollars à ses chasseurs de bugs

Le programme de primes que Google offre aux chasseurs de failles de sécurité dans ses logiciels et services en ligne est un succès.

Dans une contribution blog, les ingénieurs en charge du VRP (Vulnerability Reporting Program) pour Google, Adam Mein et Michal Zalewski, ont révélé que 460 000 dollars ont été versés en un peu plus d’un an.

Ont été signalées, et corrigés, 780 failles rapportées par 200 personnes dans une centaine de produits Google et les codes écrits par une cinquantaine d’entreprises rachetées.

Le VRP est maintenant mis à jour, avec de nouvelles règles d’attribution.

Les plus grosses primes seront désormais payées pour les failles découvertes dans les produits intégrés à Google (les applications des start-up à peine rachetées sont moins importantes), et pour les produits hébergeant les données les plus sensibles (Google Wallet est plus important de ce point de vue que Google Art Project par exemple).

De plus, les primes maximales sont augmentées, passant à 20 000 dollars pour une faille donnant accès aux systèmes de production de Google ou 10 000 dollars pour les failles de type « Injection SQL » ou des contournement de l’authentification.

La prime de 3133,7 dollars s’applique maintenant aux failles XSS, XSRF et autres problèmes ayant un impact important sur des applications très sensibles.

Ces sommes commencent à être très élevées, surtout comparées aux 500 dollars (et 1337 dollars pour les failles critiques) offertes au début du programme, et à l’époque uniquement pour Chrome.

Une inflation qui se retrouve aussi lors des concours de hacking. Par exemple lors du Pwnium 2012, Google offrait 60 000 dollars pour les failles « 0 Days » découvertes dans Chrome.

Mais à l’époque, certains experts en sécurité ont refusé de dévoiler les failles qu’ils ont découverts, argumentant qu’elles se monnayent beaucoup plus chères sur les marchés privés…

Logo : © Xiaoliangge-Fotolia.com