La firme de Mountain View est plus que jamais déterminée à éliminer toutes les vulnérabilités qui pourraient affecter ses produits et services.
Pour cela, Google avait déjà mis en place des programmes pour récompenser les chercheurs qui reportaient des bugs dans ses différents produits et services.
Ces programmes ont permis de récompenser, seulement en 2014, plus de 200 différents chercheurs pour plus de 500 bugs qui ont été reportés. D'après Google, les contributions de ces chercheurs ont permis de corriger ces vulnérabilités avant qu'elles ne causent de graves dommages aux utilisateurs.
En chiffres, c'est plus de 1,5 million de dollars que Google a déboursés pour récompenser les chercheurs en 2014 ; la plus grande récompense était de 150 000$, accompagné d’un stage à Google pour le chercheur récompensé. En somme, depuis 2010, c’est plus de 4 millions de dollars de récompenses.
La collaboration de la communauté des chercheurs en sécurité, combinée aux efforts internes des équipes de sécurité de Google ont permis de rendre les produits et services Google plus sûrs et donc de rendre de plus en plus difficile la découverte de nouveaux bugs.
Pour encourager les chercheurs à continuer à rechercher des vulnérabilités dans certains produits et services de Google, l'entreprise a lancé un programme de subvention pour soutenir ces derniers.
« Tout d'abord, les efforts des chercheurs à travers ces programmes, combinés à notre propre travail de sécurité en interne, font qu'il est de plus en plus difficile de trouver des bugs. Bien sûr, c'est de bonnes nouvelles, mais il peut aussi être décourageant lorsque les chercheurs investissent leur temps et peinent à trouver des problèmes. Avec cela à l'esprit, aujourd'hui, nous lançons un nouveau programme expérimental : Subventions des recherches de vulnérabilité. » A écrit l'entreprise dans un billet de blog.
Google a annoncé que ces subventions qui vont de 1 337 $ à 3 133,7 $ viennent pour « récompenser les chercheurs en sécurité qui investissent leur temps dans la recherche de bugs des produits et services, même dans le cas où aucune vulnérabilité n'a été trouvée ». L'entreprise a ajouté que si, en plus de la subvention, une vulnérabilité est trouvée, le chercheur sera également admissible à une récompense dans le cadre de son programme habituel de récompense des chasseurs de bugs.
Il faut aussi préciser que Google a décidé de subventionner les chercheurs seulement pour certains produits et services, en particulier, des services et fonctionnalités nouvellement lancés et des produits sensibles.
Par ailleurs, l'entreprise a annoncé que « toutes les applications mobiles officiellement développées par Google sur Google Play et iTunes seront désormais prises en compte dans le cadre du Programme de récompense de vulnérabilité ».
Sources : Google online Security Blog, Vulnerability Research Grant Rules
Vous êtes un chercheur en sécurité et vous êtes intéressé, postulez pour bénéficier de la subvention
Que pensez-vous du programme de subvention de Google ?
Google lance un programme de subvention des chercheurs en sécurité
Pour les inciter à rechercher les bugs dans ses produits et services
Google lance un programme de subvention des chercheurs en sécurité
Pour les inciter à rechercher les bugs dans ses produits et services
Le , par Michael Guilloux
Une erreur dans cette actualité ? Signalez-nous-la !