DCOD | Cybersécurité • IA • Tech DCOD | Cybersécurité • IA • Tech
Navigation
  • Cyber-attaques / fraudes
  • Intelligence artificielle
  • Failles / vulnérabilités
  • Pertes / vols de données
  • Cybercrime
  • Législation
Les derniers articles
  • Illustration 3D pour la veille sur les vulnérabilités : un cadenas métallique ouvert est posé sur un circuit imprimé complexe. De vifs flux lumineux oranges et des triangles d'alerte rouges clignotants émanent du cadenas, symbolisant des failles de sécurité actives et des brèches dans un système informatique.
    Vulnérabilités : les 14 alertes critiques du 6 juillet 2026
  • Photographie d'illustration réaliste de l'intérieur d'un salon luxueux dans une villa américaine, montrant un grand téléviseur mural et un ordinateur portable, tous deux affichant une carte du monde connectée. Des flux de données lumineux relient les appareils et les équipements réseau, symbolisant le réseau de proxys résidentiels NetNut créé à partir de téléviseurs connectés et de boîtiers de streaming compromis. L'arrière-plan montre une piscine extérieure et des palmiers sous la lumière du jour.
    Proxys résidentiels : Google et le FBI coupent le réseau NetNut
  • Illustration conceptuelle de cybersécurité montrant un bouclier numérique vert lumineux avec une serrure centrale, sur fond sombre de réseaux de données, de circuits imprimés et une silhouette de hacker dans l'ombre. Image d'en-tête pour la veille hebdomadaire.
    Cybersécurité : les 13 actualités majeures du 5 juillet 2026
  • Illustration conceptuelle sur l'IA agentique et les trois angles morts qui menacent la cybersécurité, représentant un profil humain pensif superposé d'interfaces de données numériques à côté d'un grand chiffre 3 transparent.
    IA agentique : trois angles morts qui menacent la cybersécurité
  • Illustration pour la veille cybercriminalité et crypto : une paire de menottes en métal repose sur un clavier d'ordinateur au premier plan. En arrière-plan sombre, une silhouette de hacker encapuchonné fait face à un réseau lumineux d'icônes de cryptomonnaies interconnectées, incluant les symboles du Bitcoin et de l'Ethereum, dans des teintes bleues et rouges.
    Cybercriminalité : les 11 opérations et arrestations du 3 juillet 2026
Suivez en direct
DCOD | Cybersécurité • IA • Tech DCOD | Cybersécurité • IA • Tech
Cybersécurité • IA • Tech

Capter l'info, retenir l'essentiel. Pour les pros et passionnés.

DCOD | Cybersécurité • IA • Tech DCOD | Cybersécurité • IA • Tech DCOD | Cybersécurité • IA • Tech DCOD | Cybersécurité • IA • Tech
  • Cyberattaques
  • Vulnérabilités
  • Vols de données
  • Cybercrime
  • IA & Tech
Cybersécurité • IA • Tech

Capter l'info, retenir l'essentiel. Pour les pros et passionnés.

  • Analyses / Rapports cybersécurité
  • À la une
  • Cyber-attaques / fraudes

Voici le bilan 2024 du programme de chasse aux bugs de Google

  • Marc Barbezat
  • 4 avril 2025
  • 4 minutes de lecture
Go pour la chasse au bug
▾ Sommaire
Un an de VRP chiffrésFocus sur Android et les appareils GoogleChrome : Renforcement de la sécurité et des récompensesGoogle Cloud VRP : Sécuriser le cloudIntelligence Artificielle GénérativePerspectives pour 2025Pour en savoir plus(Re)découvrez également:
En 2024, Google a versé près de 12 millions de dollars à 600 chercheurs grâce à son programme de récompenses pour vulnérabilités.

En 2024, le Vulnerability Reward Program (VRP) de Google a une fois de plus prouvé son efficacité à mobiliser la communauté des chercheurs en sécurité pour renforcer la sécurité de Google et de ses produits. Près de 12 millions de dollars ont été versés à plus de 600 chercheurs à travers le monde.

Un an de VRP chiffrés

Le Vulnerability Reward Program de Google continue de démontrer son impact global. Pour découvrir qui contribue au programme, le classement des chercheurs est disponible, mettant en lumière les contributions des experts, y compris les plus jeunes talents qui rejoignent les rangs des chasseurs de bugs de Google.

L’année 2024 a été marquée par plusieurs évolutions significatives du programme de récompenses de Google. Les montants des récompenses ont été revus à la hausse, atteignant un maximum de 151 515 $. Le Mobile VRP offre désormais jusqu’à 300 000 $ pour les vulnérabilités critiques dans les applications les plus importantes, tandis que le Cloud VRP propose une récompense maximale de 151 515 $. Pour Chrome, les récompenses culminent à 250 000 $.

L'essentiel Cybersécurité, IA & Tech

Rejoignez la communauté. 3 fois par semaine, recevez l'analyse des tendances par Marc Barbezat. Pas de spam, juste de l'info.

Ou suivez le flux temps réel
Telegram Discord

L’initiative InternetCTF a été lancée pour encourager la découverte de vulnérabilités d’exécution de code dans l’open source et fournir des correctifs Tsunami. L’Abuse VRP a connu une augmentation de 40 % des paiements, avec plus de 250 bugs valides signalés, ciblant les problèmes d’abus et de mauvaise utilisation des produits Google, ce qui a représenté plus de 290 000 $ en récompenses.

image 9
Programme de récompense pour la vulnérabilité 2024 en chiffres

Pour faciliter le processus de paiement des récompenses, Bugcrowd a été ajouté comme option de paiement sur bughunters.google.com, en complément de l’option de paiement standard de Google. Deux éditions de bugSWAT ont été organisées pour la formation, le partage de compétences et le hacking en direct. Au total, 370 000 $ ont été remis aux chasseurs de bugs lors de ces événements. Google a également renforcé son engagement envers la prochaine génération d’ingénieurs en sécurité en organisant quatre ateliers init.g.

Focus sur Android et les appareils Google

En 2024, les programmes Android et Google Devices Security Reward Program et Google Mobile Vulnerability Reward Program ont continué de renforcer l’écosystème Android. Plus de 3,3 millions de dollars ont été attribués à des chercheurs ayant démontré une expertise exceptionnelle dans la découverte de vulnérabilités critiques au sein d’Android et des applications mobiles Google.

Bien que le nombre total de soumissions ait diminué de 8 %, le nombre de vulnérabilités critiques et élevées a augmenté de 2 %. Cela suggère que moins de chercheurs soumettent moins de bugs, mais que ces bugs sont plus significatifs, reflétant ainsi l’amélioration de la sécurité du système d’exploitation Android.

Une attention particulière a été accordée à Android Automotive OS et WearOS, avec l’intégration d’appareils automobiles réels à plusieurs événements de piratage en direct. Un défi de piratage en direct axé sur les appareils Pixel a permis de récompenser les participants à hauteur de 75 000 $ et de découvrir plusieurs vulnérabilités liées à la sécurité de la mémoire. Un nouveau cours de piratage Android a été lancé en collaboration avec des chercheurs en sécurité externes, destiné aux débutants comme aux experts.

Chrome : Renforcement de la sécurité et des récompenses

Chrome a remanié sa structure de récompenses en 2024 pour encourager une recherche plus approfondie. La récompense maximale pour un problème unique a été augmentée à 250 000 $ pour la démonstration d’une exécution de code à distance (RCE) dans le navigateur ou un autre processus non sandboxé, et davantage si cela est réalisé directement sans compromettre le renderer.

En 2024, 337 rapports de bugs de sécurité uniques et valides ont été reçus pour Chrome, et 137 chercheurs du Chrome VRP ont été récompensés au total à hauteur de 3,4 millions de dollars. La récompense individuelle la plus élevée de l’année, d’un montant de 100 115 $, a été attribuée pour un rapport de contournement de MiraclePtr.

Google Cloud VRP : Sécuriser le cloud

Lancé en octobre, le Cloud VRP est un programme de récompenses axé sur les vulnérabilités spécifiques aux produits et services Google Cloud. La hiérarchisation des produits et la structure des récompenses ont été mises à jour pour mieux aligner les rapports sur leur impact sur Google Cloud. Plus de 150 produits Google Cloud figurent désormais dans les deux niveaux de récompense les plus élevés, ce qui permet d’offrir de meilleures récompenses aux chercheurs et de renforcer la sécurité du cloud.

Depuis son lancement, le Google Cloud VRP a traité plus de 400 rapports et enregistré plus de 200 vulnérabilités de sécurité uniques pour les produits et services Google Cloud, ce qui a donné lieu à plus de 500 000 $ de récompenses.

Intelligence Artificielle Générative

La première année des primes aux bugs liés à l’IA générative a été fructueuse. Plus de 150 rapports de bugs ont été reçus, avec plus de 55 000 $ de récompenses attribuées, dont un sur six a conduit à des améliorations clés. Un événement de piratage en direct ciblant les produits LLM a permis de recevoir 35 rapports, totalisant plus de 87 000 $, y compris des problèmes tels que « Hacking Google Bard – From Prompt Injection to Data Exfiltration » et « We Hacked Google A.I. for $50,000 ».

Perspectives pour 2025

En 2025, Google célébrera les 15 ans du VRP, réaffirmant son engagement envers la collaboration, l’innovation et la transparence avec la communauté de la sécurité. L’objectif reste de devancer les menaces émergentes, de s’adapter aux technologies en évolution et de continuer à renforcer la sécurité des produits et services de Google.

Pour en savoir plus

Programme de récompense pour la vulnérabilité : bilan de 2024

Publié par Dirk Göhmann. En 2024, notre programme de récompense pour les vulnérabilités a confirmé l’importance de collaborer avec la communauté de recherche en sécurité pour améliorer la sécurité de Google et de ses produits. Nous en avons fait la preuve en accordant près de 12 millions de dollars à plus de…

Lire la suite sur Google Online Security Blog
Programme de récompense pour la vulnérabilité : bilan de 2024

(Re)découvrez également:

Les Vulnerability-Disclosure-Program (VDP) se développent en Suisse

Un VDP (Vulnerability Disclosure Program) permet à des tiers de signaler des vulnérabilités à une organisation pour améliorer la sécurité proactive de celle-ci. Exemple avec Gobugfree qui offre aujourd’hui en Suisse un VDP gratuit aux entreprises.

Lire la suite sur dcod.ch
Les Vulnerability-Disclosure-Program (VDP) se développent en Suisse

Serveurs, API, temps de veille...
DCOD est indépendant et sans revenus. Soutenez le site pour l'aider à couvrir ses frais techniques.

☕ Contribuer aux frais
Etiquettes
  • bug bounty
  • Google
Marc Barbezat

Fondateur et éditeur de DCOD - Restons en contact !

A lire également
Illustration d'un centre de commandement cyber pour l'alliance Five Eyes. Un opérateur est vu de dos face à un mur d'écrans de sécurité. Au centre, une carte mondiale projetée avec cinq yeux numériques contenant les drapeaux des pays membres (USA, UK, CA, AU, NZ). Des visualisations de données de menaces IA et des codes cyber flottent dans l'air.
Lire l'article

Five Eyes : l’alliance alerte sur les menaces cyber de l’IA

Graphisme DCOD scindé en diagonale : à gauche, un bouclier de sécurité vert lumineux sur fond de code binaire ; à droite, un paysage de campagne helvétique sous un filtre rouge arborant la croix blanche suisse. Ce visuel illustre le fait que l'OFCS teste son modèle de cyberrésilience en conditions réelles.
Lire l'article

L’OFCS teste son modèle de cyberrésilience en conditions réelles

Lignes de code informatique bleues et lumineuses sur fond noir, illustrant le concept de vibe coding et ses enjeux de sécurité informatique, avec le logo dcod.ch visible dans le coin inférieur droit.
Lire l'article

Le vibe coding face aux enjeux de sécurité informatique

Des idées de lecture recommandées par DCOD

Page frontale du livre 100 Faits à Savoir sur la Cybersécurité

Les fondamentaux de la cybersécurité: Comprendre et appliquer les principes essentiels

À l’ère du numérique, la sécurité informatique est un enjeu crucial pour toute organisation.Sécurité des systèmes et des réseaux, du cloud, des applications, sécurité défensive et offensive, piratage psychologique…

📘 Voir sur Amazon
Page frontale du livre L\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\'intelligence artificielle en 50 notions clés pour les Nuls

L'intelligence artificielle en 50 notions clés pour les Nuls

Grâce à ce livre, vous pourrez naviguer dans l'univers foisonnant de l'IA et rester conscient et éclairé face aux transformations qu'elle propose à notre monde.

📘 Voir sur Amazon
Page frontale du livre Cybersécurité Nouvelle Génération

Cybersécurité Nouvelle Génération: Défendre Contre les Attaques Intelligentes grâce à l'IA

Dans un paysage numérique dominé par des menaces en constante évolution, les stratégies traditionnelles de cybersécurité ne suffisent plus. Cybersecurity Next-Generation est votre guide incontournable pour comprendre et mettre en œuvre l'intelligence artificielle comme arme stratégique dans la lutte contre les cyberattaques intelligentes et adaptatives.

📘 Voir sur Amazon

🛒 Les liens ci-dessus sont affiliés : en commandant via ces liens, vous soutenez la veille DCOD sans frais supplémentaires 🙏

💡

Note : Certaines images ou extraits présents dans cet article peuvent provenir de sources externes citées à des fins d’illustration ou de veille.
Ce site est indépendant et à but non lucratif. 👉 En savoir plus sur le cadre d’utilisation.

DCOD | Cybersécurité • IA • Tech DCOD | Cybersécurité • IA • Tech
  • Marc Barbezat
  • À propos de DCOD / Contact
  • Politique de confidentialité
Veille stratégique Cybersécurité, IA & Tech. Produite par Marc Barbezat.

Saisissez vos mots-clés de recherche et appuyez sur Entrée.

DCOD reste gratuit grâce à vous
Vos cafés aident à faire vivre la veille et à couvrir les frais techniques. Merci !
Offrir un café ☕
☕

Soutenir la veille DCOD

DCOD est un site 100% indépendant, maintenu en accès libre grâce à ses lecteurs.
Si cette veille cyber vous est utile, un coup de pouce mensuel aide à la faire vivre et à couvrir les frais techniques.

☕ Soutenir chaque mois