Google a attribué 10 millions de dollars à 632 chercheurs de 68 pays en 2023 pour avoir découvert et signalé de manière responsable des failles de sécurité dans les produits et services de l’entreprise.
Bien que ce montant soit inférieur au programme de récompense de vulnérabilité de 12 millions de dollars de Google versé aux chercheurs en 2022, le montant reste important, démontrant un niveau élevé de participation de la communauté aux efforts de sécurité de Google.
La récompense la plus élevée pour un rapport de vulnérabilité en 2023 était de 113 337$, tandis que le total depuis le lancement du programme en 2010 a atteint 59 millions de dollars.
Pour Android, le système d’exploitation mobile le plus populaire et le plus utilisé au monde, le programme a attribué plus de 3,4 millions de dollars.
Google a également augmenté le montant maximum de la récompense pour les vulnérabilités critiques concernant Android à 15 000$, entraînant une augmentation des rapports de la communauté.
Lors de conférences de sécurité comme ESCAL8 et hardwea.io, Google a attribué 70 000 for pour 20 découvertes critiques dans Wear OS et Android Automotive OS et 116 000 another supplémentaires pour 50 rapports concernant des problèmes dans Nest, Fitbit et Wearables.
L’autre grand projet logiciel de Google, le navigateur Chrome, a fait l’objet de 359 rapports de bogues de sécurité qui ont rapporté un total de 2,1 millions de dollars.
Le 1er juin 2023, la société a annoncé qu’elle triplerait les paiements de primes pour les exploits de chaîne d’évasion de bac à sable ciblant Chrome jusqu’au 1er décembre 2023.
Le programme a également augmenté les récompenses pour les bogues dans les anciennes versions (avant M105) de V8, le moteur JavaScript de Chrome, conduisant à des découvertes et des récompenses importantes comme une récompense de 30 000 $pour un bogue d’optimisation JIT V8 existant de longue date (depuis M91).
Un autre point mis en évidence dans l’article de Google est l’introduction de « MiraclePtr » dans Chrome M116, qui protège contre les vulnérabilités UAF (Use After Free) non liées au rendu.
Étant donné que ces failles ont été jugées « hautement atténuées » après l’introduction de MiraclePtr, Google a introduit une classe distincte de récompenses pour contourner le mécanisme de protection lui-même.
Enfin, l’examen aborde également les efforts déployés dans les produits d’IA générative de sécurité comme Google Bard, avec 35 rapports de chercheurs dans un événement de piratage en direct de bugSWAT générant 87 000 pay en paiements.
Outre les récompenses elles-mêmes, le programme de primes aux bogues a connu les développements et améliorations clés suivants en 2023:
- L’introduction du programme de récompenses Bonus, offrant des récompenses supplémentaires pour des cibles spécifiques.
- Extension du programme de récompense exploit pour inclure Chrome et le Cloud, mis en évidence par le lancement de v8CTF, en se concentrant sur le moteur JavaScript V8 de Chrome.
- L’inauguration du VRP Mobile pour les applications Android propriétaires.
- Lancement du blog Bug hunters pour partager des idées et des mesures de sécurité pour Internet.
- L’organisation de la conférence sur la sécurité ESCAL8 à Tokyo, avec des événements de piratage en direct, des ateliers et des conférences.
Ceux qui souhaitent s’impliquer dans le programme de primes aux bogues de Google peuvent en apprendre davantage à ce sujet grâce à sa communauté de chasseurs de bogues.