Pour gérer vos consentements :
Categories: Cloud

Sécurité IT : Google paie un demi-million de dollars à ses chasseurs de bugs

Le programme de primes que Google offre aux chasseurs de failles de sécurité dans ses logiciels et services en ligne est un succès.

Dans une contribution blog, les ingénieurs en charge du VRP (Vulnerability Reporting Program) pour Google, Adam Mein et Michal Zalewski, ont révélé que 460 000 dollars ont été versés en un peu plus d’un an.

Ont été signalées, et corrigés, 780 failles rapportées par 200 personnes dans une centaine de produits Google et les codes écrits par une cinquantaine d’entreprises rachetées.

Le VRP est maintenant mis à jour, avec de nouvelles règles d’attribution.

Les plus grosses primes seront désormais payées pour les failles découvertes dans les produits intégrés à Google (les applications des start-up à peine rachetées sont moins importantes), et pour les produits hébergeant les données les plus sensibles (Google Wallet est plus important de ce point de vue que Google Art Project par exemple).

De plus, les primes maximales sont augmentées, passant à 20 000 dollars pour une faille donnant accès aux systèmes de production de Google ou 10 000 dollars pour les failles de type « Injection SQL » ou des contournement de l’authentification.

La prime de 3133,7 dollars s’applique maintenant aux failles XSS, XSRF et autres problèmes ayant un impact important sur des applications très sensibles.

Ces sommes commencent à être très élevées, surtout comparées aux 500 dollars (et 1337 dollars pour les failles critiques) offertes au début du programme, et à l’époque uniquement pour Chrome.

Une inflation qui se retrouve aussi lors des concours de hacking. Par exemple lors du Pwnium 2012, Google offrait 60 000 dollars pour les failles « 0 Days » découvertes dans Chrome.

Mais à l’époque, certains experts en sécurité ont refusé de dévoiler les failles qu’ils ont découverts, argumentant qu’elles se monnayent beaucoup plus chères sur les marchés privés…

Logo : © Xiaoliangge-Fotolia.com

Recent Posts

PC Copilot+ : une porte d’entrée vers l’ IA locale ?

Equipés de NPU, les PC Copilot+ peuvent déployer des LLM en local. Un argument suffisant…

2 semaines ago

PCIe 5.0 : La révolution des cartes-mères est-elle en marche ?

Que vous soyez un novice dans le domaine informatique, ou avec un profil plus expérimenté,…

3 semaines ago

Cybersécurité : attention aux QR codes dans les PDF

Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…

2 mois ago

Windows 11 : une mise à jour majeure apporte de nouvelles fonctionnalités

Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…

3 mois ago

Microsoft 365 : comment Copilot se déploie dans toutes les applications

L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…

3 mois ago

PC Copilot + : Microsoft veut garder Recall

Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…

4 mois ago