C'est à nouveau l'heure d'un bilan annuel pour les programmes de chasse aux bugs de Google ouverts aux chercheurs en sécurité tiers. En l'occurrence, le Chrome Vulnerability Reward Program auquel est associé le concours Pwnium et le Google Web Vulnerability Reward Program.

bug Respectivement, ces programmes de Bug Bounty concernent les rapports de vulnérabilités dans Google Chrome et son socle open source Chromium, et les applications et services Web de Google. Pour l'ensemble de ces programmes, Google indique avoir payé plus de 2 millions de dollars en trois ans.

Cela concerne la découverte de plus de 2 000 vulnérabilités par des chercheurs tiers qui ont donc été récompensés pour leurs efforts et problèmes dûment rapportés à Google. Une telle stratégie vise à resserrer les liens avec la communauté de la sécurité et motiver les troupes.

Les bugs de sécurité soumis sont tenus secrets jusqu'à la disponibilité d'un correctif. Reste qu'une telle stratégie n'empêche pas la vente de bugs de sécurité sur le marché noir qui peut être très rémunératrice.

Pour le Chrome VRP, Google a décidé de relever le niveau des récompenses et certains bugs rémunérés 1 000 dollars seront désormais rémunérés à hauteur de 5 000 dollars.

En début de mois, Facebook a annoncé que son programme de Bug Bounty vieux d'un peu plus de deux ans a dépassé le million de dollars de récompenses auprès de 329 personnes. Certaines d'entre elles ont gagné plus de 100 000 dollars chacune.

PayPal est aussi adepte en la matière. Après avoir rechigné, Microsoft a également lancé des programmes de récompenses pour la découverte et le rapport de vulnérabilités affectant la préversion d'Internet Explorer 11 et Windows 8.1.

Mozilla a été l'un des initiateurs et vient par ailleurs de se rapprocher de BlackBerry pour une collaboration autour du fuzzing.