L’un des principes du test de logiciels stipule que l’absence de bogues est une utopie. À Mountain View, il a quand même fallu attendre douze ans, après la création de l’entreprise en 1998, pour ouvrir la porte aux chasseurs de bogues du monde entier. À l’heure où l’on entame une nouvelle année, Google a une fois de plus décidé de faire le bilan de son Vulnerability Reward Program (VRP). Retour sur les chiffres des années précédentes.Google a déboursé un total de 2,9 millions de dollars en 2017 dans le cadre de son programme de chasse aux bogues lancé pour récompenser les chercheurs en sécurité pour les rapports de vulnérabilité fournis. En 2016, la firme avait mis un peu plus de 3 millions de dollars sur la table. Au terme de l’exercice 2016, la firme de Mountain avait dépensé 9 millions de dollars en tout depuis le lancement du programme en 2010. Avec les chiffres de 2017, les chercheurs en sécurité de tous bords ont fait un pactole de 12 millions de dollars.
L’an passé, Google a émis des paiements à l’endroit de 274 chercheurs au total. Le plus gros chèque d’une valeur de 112 500 dollars est allé à un chercheur qui a dévoilé une chaine d’exploit qui permettait l’exécution de code à distance sur des smartphones Pixel. Un chercheur qui répond au pseudonyme « gzobqq » a pour sa part reçu la bagatelle de 100 000 dollars pour avoir mis à nu une faille d’exécution de code à distance dans le mode invité de Chrome OS. Alex Birsan s’est fait 15 600 dollars pour avoir déniché une faille Issue Tracker, l’outil de reporting de bogue de Google, laquelle aurait permis d’accéder au système interne de l’entreprise.
Les vulnérabilités dans les produits Google, le système d’exploitation Android et le navigateur Chrome se sont, semble-t-il, taillé la part du lion avec 1,1 million de dollars pour chacune sur l’année précédente.
Les incitatifs financiers sont de plus en plus substantiels dans le cadre du programme de chasse aux bogues du géant de la Silicon Valley. En 2017, les vulnérabilités d’exécution de code à distance sur la plateforme Android ont vu leur plafond de récompense passer de 50 000 dollars à 200 000 dollars. Même son de cloche pour celles relatives au kernel avec un passage de 30 000 dollars à 150 000 dollars.
Le Google Play Security Reward Program (GPSRP) est le dernier-né des programmes de bug bounty de la firme de Mountain View. En ligne de mire ici aussi, ces fameuses failles qui permettent à un attaquant de prendre le contrôle depuis son canapé. Pour les vulnérabilités de ce type, Google annonce que le maximum de la récompense passe de 1000 dollars à 5000 dollars. On a beaucoup parlé de fuites de données en 2017 avec l’épisode Equifax notamment. Google a décidé d’introduire une catégorie pour ce type de cas avec des récompenses de 1000 dollars maximum dans le cadre du GPSRP.
Le test de logiciels paie bien son homme. Référence faite au rapport 2018 de HackerOne, l’une des plus grosses communautés de hacker au monde, les cracks du test en activité sur cette plateforme se font jusqu’à 16 fois le salaire moyen d’un développeur dans leur pays d’origine. Le rapport pointait particulièrement des personnes originaires de pays en voie de développement comme l’Inde.
Source
Google Blog
Votre opinion
Quel est d'après vous le cursus idéal pour devenir testeur de logiciels ? Lequel des métiers vous attire le plus ? Testeur ou développeur ? Les incitatifs financiers semblent alléchants. Pensez-vous à vous lancer sérieusement dans cette activité ?Voir aussi
Bug Bounty : Microsoft récompense jusqu'à 15 000 dollars, la découverte de failles sur les versions bêtas de .Net CoreCLR et d'ASP.NET 5