Quelqu’un a gagné beaucoup d’argent en découvrant des vulnérabilités dans les produits Google en 2022, a révélé la société.
Le géant des moteurs de recherche a récemment dévoilé les résultats de son Vulnerability Reward Program, une campagne de primes aux bogues qui récompense les pirates éthiques qui découvrent des failles majeures dans ses produits et les divulguent de manière responsable au lieu de donner aux pirates l’occasion d’en abuser avec des logiciels malveillants. (s’ouvre dans un nouvel onglet).
Au total, la société a déboursé plus de 12 millions de dollars pour environ 2 900 vulnérabilités au cours de l’année 2022.
Défauts dans Android, Chrome et ChromeOS
Un rapport unique se démarque dans le rapport de Google – un pirate a découvert une chaîne d’exploitation, impliquant cinq vulnérabilités distinctes dans Android – CVE-2022-20427, CVE-2022-20428, CVE-2022-20454, CVE-2022-20459, CVE-2022 -20460. Google a décidé que la chaîne d’exploitation méritait une récompense de 605 000 $.
La personne qui a découvert la chaîne d’exploitation s’appelle gzobqq, a rapporté BleepingComputer, ajoutant que la même personne a également gagné 157 000 dollars en 2021 pour une chaîne d’exploitation critique dans Android. Ces deux chaînes d’exploitation étaient la prime de bogue la plus élevée d’Android à leur époque respective.
En ce qui concerne Android en particulier, l’année dernière, Google a versé 4,8 millions de dollars en récompenses. Les trois pirates les plus actifs ont signalé respectivement 200, 150 et 100 bogues.
De plus, la société a versé près de 500 000 $ pour 700 rapports effectués via le programme de récompense de sécurité du chipset Android. ACSRP est un programme privé de primes de bogues réservé uniquement aux fabricants de chipsets Android.
Pour 363 failles découvertes dans Chrome et 110 dans ChromeOS, Google a déboursé 4 millions de dollars.
La plupart des grandes entreprises technologiques proposent des programmes de primes aux bogues, car ils constituent un excellent moyen d’inciter la communauté de la cybersécurité au sens large à participer au renforcement des logiciels les plus populaires au monde.
En août 2022, Microsoft a annoncé avoir versé 13,7 millions de dollars en récompenses à 330 chercheurs en sécurité dans 46 pays. La récompense la plus importante, dans le cadre du programme Hyper-V Bounty, était de 200 000 $, a ajouté la société, tandis que la récompense moyenne était d’environ 12 000 $.
Apple, en revanche, a déclaré avoir versé 20 millions de dollars via son programme de primes aux bogues en 2022, la récompense moyenne dans la catégorie de produits étant de 40 000 dollars.
Via : BleepingComputer (s’ouvre dans un nouvel onglet)