Comme chaque année à cette période, Google fait un petit bilan chiffré de ses initiatives autour de ses programmes de récompense pour la découverte de vulnérabilités de sécurité. En 2017, la somme totale de 2,9 millions de dollars a été reversée à des hackers white hat.

Par rapport à 2016, c'est une somme comparable. Par contre, le nombre de chercheurs récompensés a chuté de 350 à 274. Des vulnérabilités trouvées dans des produits Google ont représenté pour plus de 1 million de dollars, soit quasiment autant que pour Android. C'est un petit peu moins pour Chrome.

La palme du problème de sécurité le plus rémunérateur revient à Guang Gong qui a reçu 112 500 $. Membre de l'équipe Alpha chez Qihoo 360, ce hacker chinois avait mis au jour une chaîne d'exploitation pouvant compromettre des appareils mobiles Pixel. Nous avions évoqué cette trouvaille dans nos colonnes avec plus de détails.

google-programme-recompense-vulnerabilite-2017
En 2017, les programmes de récompense de Google ont été réévalués (des récompenses plus importantes) et continuent de se développer. Un programme atypique Google Play Security Reward a notamment été lancé pour les applications Android hébergées dans le Google Play Store.

Au-delà des vulnérabilités de type exécution de code à distance, ce dernier est désormais étendu aux vulnérabilités pouvant entraîner du vol de données personnelles, le transfert d'informations de manière non chiffrée, l'accès à des composants applicatifs protégés.