Bug Bounty : en 2022, Google a versé plus de 12 millions de dollars
jeudi 23 février 2023 à 00:42Google a mis en ligne des statistiques au sujet de son programme de bug bounty "Vulnerability Reward Program". L'occasion d'avoir accès à quelques informations croustillantes.
En 2022, Google a versé plus de 12 millions de dollars aux chercheurs en sécurité qui sont parvenus à identifier plus de 2 900 failles de sécurité corrigées ensuite par les équipes de Google. Sur une année, c'est tout de même phénoménal.
D'ailleurs, c'est en 2022 que Google a versé la plus grosse prime de son histoire dans le cadre de son programme Vulnerability Reward Program : 605 000 dollars. Cette récompense correspond à une chaîne d'exploitation critique de 5 failles de sécurité ((CVE-2022-20427, CVE-2022-20428, CVE-2022-20454, CVE-2022-20459, CVE-2022-20460) qui affectait Android et qui a été soumise par gzobqq. En 2021, ce même chercheur en sécurité avait empoché 157 000 dollars en découvrant une autre chaine d'exploitation dans Android.
Le graphe ci-dessous montre aussi que chaque année, Google verse toujours plus d'argent aux chercheurs en sécurité.
4,8 millions de dollars pour Android
En 2022, et rien que pour Android, Google a versé 4,8 millions de dollars en récompense aux chercheurs en sécurité ! Cette somme importante correspond à plusieurs centaines de bugs. Et si l'on veut faire un classement, voici le "TOP 3" des chercheurs ayant signalés le plus de vulnérabilités Android en 2022 :
- Aman Pandey de Bugsmirror - plus de 200 vulnérabilités
- Zinuo Han d'OPPO Amber Security Lab - 150 vulnérabilités
- Yu-Cheng Lin - près de 100 vulnérabilités
Personnellement, je ne pensais pas qu'il y avait autant de failles de sécurité corrigées dans Android.
4 millions de dollars pour Chrome et ChromeOS
Par ailleurs, Google est concerné par les failles de sécurité dans son navigateur Chrome et dans son système d'exploitation ChromeOS. Là encore, on parle de centaines de vulnérabilités : 363 dans Chrome et 110 dans ChromeOS. Sur cette somme de 4 millions de dollars, les récompenses associées à ChromeOS représentent seulement 500 000 dollars.
Google a également annoncé qu'en 2023, le programme bug bounty dédié à Chrome et ChromeOS allait bénéficier de bonus.
110 000 dollars de récompenses pour les projets open source
Lancé en août 2022, le programme de récompense dédié aux projets open source de chez Google a récompensé plus de 100 personnes, pour un montant total qui atteint 110 000 dollars. Parmi ces projets, on retrouve Bazel, Angular, Golang, ou encore Fuchsia.
Au total, Google a récompensé 703 chercheurs différents en 2022 ! L'entreprise américaine est également partenaire de certains événements de sécurité comme NahamCon et BountyCon.
L'article Bug Bounty : en 2022, Google a versé plus de 12 millions de dollars est disponible sur IT-Connect : IT-Connect.