Google a versé près de 12 millions de dollars en primes de bogues à 660 chercheurs en sécurité qui ont signalé des bogues de sécurité via le Programme de récompense de vulnérabilité (VRP) de l’entreprise en 2024.
Parmi les faits saillants de l’année dernière, la société a réorganisé la structure de récompense du VRP, augmentant les récompenses jusqu’à un maximum de 151 515$, tandis que son VRP mobile offre désormais jusqu’à 300 000 for pour les vulnérabilités critiques dans les applications de premier plan (avec une récompense maximale atteignant 450 000 for pour des rapports de qualité exceptionnelle).
Le VRP Cloud a multiplié par cinq le montant des récompenses de premier niveau en juillet, tandis que les récompenses pour bogues de sécurité Chrome dépassent désormais 250 000 USD.
L’année dernière, Google a plus que doublé les récompenses pour les contournements MiraclePtr à 250 128 from contre 100 115 when lors du lancement de la récompense de contournement MiraclePtr.
Il a également lancé kvmCTF, un nouveau VRP dévoilé en octobre 2023, visant à améliorer la sécurité de l’hyperviseur de machine virtuelle basé sur le noyau (KVM), qui offre des primes de 250 000 for pour des exploits d’évasion de machine virtuelle complets.
La société affirme avoir attribué 65 millions de dollars de primes de bogues depuis la mise en service de son premier programme de récompense de vulnérabilité en 2010, tandis que la récompense la plus élevée versée l’année dernière était de plus de 110 000 dollars.
En 2024, Google a attribué 3,4 millions de dollars à 137 chercheurs Chrome VRP après avoir analysé 137 rapports de bogues de sécurité Chrome valides.
La prime de bogue la plus élevée de 2024 était de 100 115 $pour le signalement d’un contournement de MiraclePtr après que MiraclePtr a été initialement activé sur la plupart des plates-formes dans Chrome M115 en 2023.
La société a également versé plus de 3,3 millions de dollars aux chercheurs qui ont signalé des bogues de sécurité via le Programme de récompense de sécurité des appareils Android et Google de la société et le Programme de récompense de vulnérabilité mobile de Google.
« En 2025, nous célébrerons 15 ans de VRP chez Google, au cours desquels nous sommes restés pleinement engagés à favoriser la collaboration, l’innovation et la transparence avec la communauté de la sécurité, et continuerons de le faire à l’avenir », a déclaré Google.
« Notre objectif reste de garder une longueur d’avance sur les menaces émergentes, de nous adapter à l’évolution des technologies et de continuer à renforcer la posture de sécurité des produits et services de Google. »
Un an plus tôt, en 2023, Google a attribué 10 millions de dollars à 632 chercheurs pour avoir découvert et signalé de manière responsable des failles de sécurité dans ses produits et services.