Google a payé 21 millions aux découvreurs de vulnérabilités de ses produits depuis 2010
Un Article de :
du 29 janvier 2020 à 18h45
Si les hackers ont souvent pour but d'extorquer d'importantes sommes d'argent à leurs victimes, les failles informatiques sont également rentables pour ceux qui les recherchent avec bienveillance. Google vient de préciser sur son blog que depuis la création de son programme de récompenses VRP (Vulnerability Reward Programs) en 2010, l'entreprise a versé au total 21 millions de dollars en découvertes de bugs et failles logicielles.
Chez Google, le chiffre témoigne de la popularité d'un programme qui s'est élargi avec le temps.
Chez Google, le chiffre témoigne de la popularité d'un programme qui s'est élargi avec le temps.
Un record à plus de 200 000 dollars
Comme un indicateur de menaces grandissantes, les sommes versées n'ont cessé d'augmenter. Sur la seule année 2019, Google aura payé 6,5 millions de dollars de récompenses, le double de l'année précédente (3,4 millions de dollars). Seule l'année 2017 aura affiché un léger retrait (2,9 millions versés contre 3 millions en 2016).
Jusqu'à présent, la récompense la plus importante s'est établie à 201 337 dollars : elle a été versée à Guang Gong, de la société Alpha Labs, qui a découvert une faille majeure sur la gamme de smartphones Pixel, des appareils sur lesquels Google avait précédemment fait monter les enchères en offrant jusqu'à 1,5 million de dollar pour un piratage réussi. Au total, 461 chercheurs ont été récompensés jusqu'à présent et Google dit aussi avoir donné 500 000 dollars à un ou des organismes de charité. Le groupe ne précise pas lequel ou lesquels, mais souligne qu'il s'agit là d'une somme cinq fois plus importante que celles effectuées les années précédentes.
Ce sont là des sommes importantes, mais l'opération reste toujours bien plus intéressant pour les entreprises que de devoir assumer les conséquences d'un logiciel piraté. Il y a un an, l'entreprise Zerodium a pointé du doigt une flambée du prix du piratage, qui peut coûter jusqu'à deux millions de dollars par faille.
Il est donc logique que d'autres grands groupes aient déjà leurs propres programmes. Facebook a lancé le sien en 2011, Paypal a fait de même en 2012. Quant à Tesla, l'entreprise a offert une Model 3 pour un piratage effectué en mars dernier. Sûre d'elle, l'entreprise a depuis promis une récompense de 500 000 dollars en cas de nouveau piratage de sa voiture.
Jusqu'à présent, la récompense la plus importante s'est établie à 201 337 dollars : elle a été versée à Guang Gong, de la société Alpha Labs, qui a découvert une faille majeure sur la gamme de smartphones Pixel, des appareils sur lesquels Google avait précédemment fait monter les enchères en offrant jusqu'à 1,5 million de dollar pour un piratage réussi. Au total, 461 chercheurs ont été récompensés jusqu'à présent et Google dit aussi avoir donné 500 000 dollars à un ou des organismes de charité. Le groupe ne précise pas lequel ou lesquels, mais souligne qu'il s'agit là d'une somme cinq fois plus importante que celles effectuées les années précédentes.
Les programmes fleurissent
Le succès du programme s'explique par son extension à d'autres supports. Aujourd'hui, Google compte au total cinq VRP, chacun s'intéressant à un volet spécifique de Google : le navigateur Chrome, l'univers Android, etc. Depuis l'année dernière, le Google Play est également concerné. Son programme assure des récompenses sur toutes les applications ayant déjà été installées plus de 100 millions de fois. Rien que sur le second semestre 2019, il a versé 500 000 dollars de récompenses. Un autre VRP, baptisé Developer Data Protection (DDP), se concentre depuis sa création en 2019 sur les vols de données.Ce sont là des sommes importantes, mais l'opération reste toujours bien plus intéressant pour les entreprises que de devoir assumer les conséquences d'un logiciel piraté. Il y a un an, l'entreprise Zerodium a pointé du doigt une flambée du prix du piratage, qui peut coûter jusqu'à deux millions de dollars par faille.
Il est donc logique que d'autres grands groupes aient déjà leurs propres programmes. Facebook a lancé le sien en 2011, Paypal a fait de même en 2012. Quant à Tesla, l'entreprise a offert une Model 3 pour un piratage effectué en mars dernier. Sûre d'elle, l'entreprise a depuis promis une récompense de 500 000 dollars en cas de nouveau piratage de sa voiture.