Une nouvelle fois, Google augmente le montant des primes aux bugs de sécurité dans Chrome qui lui sont rapportés par des chercheurs tiers. La fourchette passe ainsi de 500 $ - 5 000 $ par bug à 500 $ - 15 000 $.
Néanmoins, lorsqu'une vulnérabilité véritablement critique est mise au jour, Google n'hésite pas à aller au-delà comme cela a été le cas en août dernier avec 30 000 $ pour lokihardt@asrt. Il s'agissait plus précisément d'une combinaison de bugs de sécurité.
La nouvelle politique de récompenses est rétroactive afin de couvrir les soumissions depuis le 1er juillet 2014. Mais pour pouvoir prétendre aux primes les plus élevées, les découvreurs de vulnérabilités devront pouvoir fournir un exploit pour démontrer une attaque spécifique.
Ils ont en outre la possibilité de d'abord soumettre une vulnérabilité puis ultérieurement un exploit. Cette possibilité devrait permettre à Google de préparer des patchs plus rapidement et éviter des doublons dans les rapports de bugs.
À en croire Google, comme Chrome est devenu plus sûr, il est devenu encore plus difficile de trouver et exploiter des bugs de sécurité. Le programme de Bug Bounty pour Chrome a été lancé en janvier 2010. Plus de 700 bugs ont été rapportés et plus de 1,25 million de dollars dépensés par Google.
La firme de Mountain View a évidemment bien conscience que des vulnérabilités peuvent se monnayer à prix d'or, bien plus que les primes qu'elle offre. Elle fait notamment allusion aux " coins sombres de l'Internet. "
À ce marché noir, Google oppose le fait que les hackers qui adhèrent à son programme auront une reconnaissance publique (désormais dans le Hall of Fame), peuvent montrer à tous leurs compétences. Ils auront en outre bonne conscience, sans craindre que leurs bugs ne soient exploités à des fins inconnues par d'obscures personnes.
