Le paiement le plus important était de 113 337 $.
En bref: Google a annoncé avoir accordé l’année dernière une somme colossale de 10 millions de dollars en récompenses de bug bounty, le deuxième montant le plus important jamais versé par le programme. La récompense la plus élevée en 2023 s’élevait à la somme impressionnante de 113 337 $.
Google affirme que les 10 millions de dollars versés via son programme de récompense des vulnérabilités ont été versés à 632 chercheurs de 68 pays qui ont découvert et signalé des vulnérabilités dans les produits de l’entreprise.
Le total de l’année dernière était légèrement inférieur au montant record de 12 millions de dollars que Google a versé en récompenses de bug bounty en 2022, mais il s’agit toujours du deuxième montant le plus important jamais enregistré. Depuis le lancement du programme en 2010, il a rapporté aux chercheurs un total de 59 millions de dollars.
Pour son système d’exploitation Android, Google a remis 3,4 millions de dollars en récompenses aux chercheurs qui ont découvert des vulnérabilités dans le système d’exploitation mobile. Google a également augmenté le montant maximum de sa récompense pour les découvertes liées à Android à 15 000 $, contribuant ainsi à encourager le reporting.
L’année dernière, Wear OS a été ajouté au programme de bug bounty dans l’espoir d’encourager davantage de chercheurs à rechercher des vulnérabilités dans la technologie portable qui pourraient mettre les utilisateurs en danger.
Google a mis en avant certaines conférences sur la sécurité au cours desquelles plusieurs problèmes ont été découverts. Il a organisé un événement de piratage en direct pour Wear OS et Android Automotive OS lors de la conférence ESCAL8, au cours duquel les chercheurs ont reçu 70 000 $ pour avoir découvert plus de 20 vulnérabilités critiques. Il a également mis en lumière les conférences sur la sécurité hardwear.io, au cours desquelles les chercheurs en sécurité matérielle ont découvert plus de 50 vulnérabilités dans Nest, Fitbit et Wearables, leur rapportant un total de 116 000 $ l’année dernière.
Google a ajouté l’IA générative à son programme de récompense de vulnérabilité en 2023. Il a organisé un événement de piratage en direct bugSWAT ciblant les produits LLM qui a abouti à 35 rapports et au paiement de plus de 87 000 $. Il a également révélé des problèmes tels que Hacking Google Bard – From Prompt Injection to Data Exfiltration et We Hacked Google AI pour 50 000 $.
Ailleurs, un chercheur de Chrome a reçu une récompense de 30 000 $ pour avoir signalé un bug d’optimisation V8 JIT présent dans le navigateur depuis au moins M91, qui a obtenu une version stable en mai 2021.
