En 2024, Google a versé près de 12 millions de dollars à 600 chercheurs grâce à son programme de récompenses pour vulnérabilités.
En 2024, le Vulnerability Reward Program (VRP) de Google a une fois de plus prouvé son efficacité à mobiliser la communauté des chercheurs en sécurité pour renforcer la sécurité de Google et de ses produits. Près de 12 millions de dollars ont été versés à plus de 600 chercheurs à travers le monde.
Un an de VRP chiffrés
Le Vulnerability Reward Program de Google continue de démontrer son impact global. Pour découvrir qui contribue au programme, le classement des chercheurs est disponible, mettant en lumière les contributions des experts, y compris les plus jeunes talents qui rejoignent les rangs des chasseurs de bugs de Google.
Offrez un café pour soutenir cette veille indépendante
☕ Je soutiens DCOD
L’année 2024 a été marquée par plusieurs évolutions significatives du programme de récompenses de Google. Les montants des récompenses ont été revus à la hausse, atteignant un maximum de 151 515 $. Le Mobile VRP offre désormais jusqu’à 300 000 $ pour les vulnérabilités critiques dans les applications les plus importantes, tandis que le Cloud VRP propose une récompense maximale de 151 515 $. Pour Chrome, les récompenses culminent à 250 000 $.
L’initiative InternetCTF a été lancée pour encourager la découverte de vulnérabilités d’exécution de code dans l’open source et fournir des correctifs Tsunami. L’Abuse VRP a connu une augmentation de 40 % des paiements, avec plus de 250 bugs valides signalés, ciblant les problèmes d’abus et de mauvaise utilisation des produits Google, ce qui a représenté plus de 290 000 $ en récompenses.
Pour faciliter le processus de paiement des récompenses, Bugcrowd a été ajouté comme option de paiement sur bughunters.google.com, en complément de l’option de paiement standard de Google. Deux éditions de bugSWAT ont été organisées pour la formation, le partage de compétences et le hacking en direct. Au total, 370 000 $ ont été remis aux chasseurs de bugs lors de ces événements. Google a également renforcé son engagement envers la prochaine génération d’ingénieurs en sécurité en organisant quatre ateliers init.g.
Focus sur Android et les appareils Google
En 2024, les programmes Android et Google Devices Security Reward Program et Google Mobile Vulnerability Reward Program ont continué de renforcer l’écosystème Android. Plus de 3,3 millions de dollars ont été attribués à des chercheurs ayant démontré une expertise exceptionnelle dans la découverte de vulnérabilités critiques au sein d’Android et des applications mobiles Google.
Bien que le nombre total de soumissions ait diminué de 8 %, le nombre de vulnérabilités critiques et élevées a augmenté de 2 %. Cela suggère que moins de chercheurs soumettent moins de bugs, mais que ces bugs sont plus significatifs, reflétant ainsi l’amélioration de la sécurité du système d’exploitation Android.
Une attention particulière a été accordée à Android Automotive OS et WearOS, avec l’intégration d’appareils automobiles réels à plusieurs événements de piratage en direct. Un défi de piratage en direct axé sur les appareils Pixel a permis de récompenser les participants à hauteur de 75 000 $ et de découvrir plusieurs vulnérabilités liées à la sécurité de la mémoire. Un nouveau cours de piratage Android a été lancé en collaboration avec des chercheurs en sécurité externes, destiné aux débutants comme aux experts.
Chrome : Renforcement de la sécurité et des récompenses
Chrome a remanié sa structure de récompenses en 2024 pour encourager une recherche plus approfondie. La récompense maximale pour un problème unique a été augmentée à 250 000 $ pour la démonstration d’une exécution de code à distance (RCE) dans le navigateur ou un autre processus non sandboxé, et davantage si cela est réalisé directement sans compromettre le renderer.
En 2024, 337 rapports de bugs de sécurité uniques et valides ont été reçus pour Chrome, et 137 chercheurs du Chrome VRP ont été récompensés au total à hauteur de 3,4 millions de dollars. La récompense individuelle la plus élevée de l’année, d’un montant de 100 115 $, a été attribuée pour un rapport de contournement de MiraclePtr.
Google Cloud VRP : Sécuriser le cloud
Lancé en octobre, le Cloud VRP est un programme de récompenses axé sur les vulnérabilités spécifiques aux produits et services Google Cloud. La hiérarchisation des produits et la structure des récompenses ont été mises à jour pour mieux aligner les rapports sur leur impact sur Google Cloud. Plus de 150 produits Google Cloud figurent désormais dans les deux niveaux de récompense les plus élevés, ce qui permet d’offrir de meilleures récompenses aux chercheurs et de renforcer la sécurité du cloud.
Depuis son lancement, le Google Cloud VRP a traité plus de 400 rapports et enregistré plus de 200 vulnérabilités de sécurité uniques pour les produits et services Google Cloud, ce qui a donné lieu à plus de 500 000 $ de récompenses.
Intelligence Artificielle Générative
La première année des primes aux bugs liés à l’IA générative a été fructueuse. Plus de 150 rapports de bugs ont été reçus, avec plus de 55 000 $ de récompenses attribuées, dont un sur six a conduit à des améliorations clés. Un événement de piratage en direct ciblant les produits LLM a permis de recevoir 35 rapports, totalisant plus de 87 000 $, y compris des problèmes tels que « Hacking Google Bard – From Prompt Injection to Data Exfiltration » et « We Hacked Google A.I. for $50,000 ».
Perspectives pour 2025
En 2025, Google célébrera les 15 ans du VRP, réaffirmant son engagement envers la collaboration, l’innovation et la transparence avec la communauté de la sécurité. L’objectif reste de devancer les menaces émergentes, de s’adapter aux technologies en évolution et de continuer à renforcer la sécurité des produits et services de Google.
Pour en savoir plus
Programme de récompense pour la vulnérabilité : bilan de 2024
Publié par Dirk Göhmann. En 2024, notre programme de récompense pour les vulnérabilités a confirmé l’importance de collaborer avec la communauté de recherche en sécurité pour améliorer la sécurité de Google et de ses produits. Nous en avons fait la preuve en accordant près de 12 millions de dollars à plus de…
(Re)découvrez également:
Les Vulnerability-Disclosure-Program (VDP) se développent en Suisse
Un VDP (Vulnerability Disclosure Program) permet à des tiers de signaler des vulnérabilités à une organisation pour améliorer la sécurité proactive de celle-ci. Exemple avec Gobugfree qui offre aujourd’hui en Suisse un VDP gratuit aux entreprises.
💡 Ne manquez plus l'essentiel
Recevez les analyses et tendances cybersécurité directement dans votre boîte mail.
Vous appréciez nos analyses ?
Soutenez DCOD en offrant un café ☕
