15/11/2024

Actu CybersécuritéEntreprise

Bug Bounty : en 2022, Google a versé plus de 12 millions de dollars

Google a mis en ligne des statistiques au sujet de son programme de bug bounty "Vulnerability Reward Program". L'occasion d'avoir accès à quelques informations croustillantes.

En 2022, Google a versé plus de 12 millions de dollars aux chercheurs en sécurité qui sont parvenus à identifier plus de 2 900 failles de sécurité corrigées ensuite par les équipes de Google. Sur une année, c'est tout de même phénoménal.

D'ailleurs, c'est en 2022 que Google a versé la plus grosse prime de son histoire dans le cadre de son programme Vulnerability Reward Program : 605 000 dollars. Cette récompense correspond à une chaîne d'exploitation critique de 5 failles de sécurité ((CVE-2022-20427, CVE-2022-20428, CVE-2022-20454, CVE-2022-20459, CVE-2022-20460) qui affectait Android et qui a été soumise par gzobqq. En 2021, ce même chercheur en sécurité avait empoché 157 000 dollars en découvrant une autre chaine d'exploitation dans Android.

Le graphe ci-dessous montre aussi que chaque année, Google verse toujours plus d'argent aux chercheurs en sécurité.

Google - Bug Bounty - Stats 2022

4,8 millions de dollars pour Android

En 2022, et rien que pour Android, Google a versé 4,8 millions de dollars en récompense aux chercheurs en sécurité ! Cette somme importante correspond à plusieurs centaines de bugs. Et si l'on veut faire un classement, voici le "TOP 3" des chercheurs ayant signalés le plus de vulnérabilités Android en 2022 :

  • Aman Pandey de Bugsmirror - plus de 200 vulnérabilités
  • Zinuo Han d'OPPO Amber Security Lab - 150 vulnérabilités
  • Yu-Cheng Lin - près de 100 vulnérabilités

Personnellement, je ne pensais pas qu'il y avait autant de failles de sécurité corrigées dans Android.

4 millions de dollars pour Chrome et ChromeOS

Par ailleurs, Google est concerné par les failles de sécurité dans son navigateur Chrome et dans son système d'exploitation ChromeOS. Là encore, on parle de centaines de vulnérabilités : 363 dans Chrome et 110 dans ChromeOS. Sur cette somme de 4 millions de dollars, les récompenses associées à ChromeOS représentent seulement 500 000 dollars.

Google a également annoncé qu'en 2023, le programme bug bounty dédié à Chrome et ChromeOS allait bénéficier de bonus.

110 000 dollars de récompenses pour les projets open source

Lancé en août 2022, le programme de récompense dédié aux projets open source de chez Google a récompensé plus de 100 personnes, pour un montant total qui atteint 110 000 dollars. Parmi ces projets, on retrouve Bazel, Angular, Golang, ou encore Fuchsia.

Au total, Google a récompensé 703 chercheurs différents en 2022 ! L'entreprise américaine est également partenaire de certains événements de sécurité comme NahamCon et BountyCon.

Source

author avatar
Florian BURNEL Co-founder of IT-Connect
Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.
Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Envoyer par mail

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.