Comment recevoir des récompenses de Google si des défaillances sont constatées dans leurs services

L'entreprise rémunère ces spécialistes pour le temps et les efforts qu'ils consacrent à cette tâche.

La société a récemment annoncé qu'un montant record de 8,7 millions de dollars avait été investi. Le chiffre représente un bond significatif par rapport aux 6,7 millions de dollars investis l'an dernier.

À son tour, la société a mentionné sur son blog que les chercheurs primés avaient fait don de plus de 300 000 $ de leurs récompenses à des œuvres caritatives de leur choix.

Quels types d'incidents peuvent être signalés et comment les signaler

En principe, tout service Web appartenant à Google ou à une filiale d'Alphabet (Bet) qui traite des données utilisateur raisonnablement sensibles entre dans le cadre du programme VRP.

Vulnérabilités au sein d'Android

Ici , il y a des récompenses qui atteignent jusqu'à un million de dollars , comme ces vulnérabilités liées à l'exécution de code dans le Pixel Titan M.

Les montants des récompenses varient en fonction de la gravité du bogue, ainsi que du type de rapport déposé lors de son identification.

Les valeurs les plus élevées sont payées pour des rapports complets qui incluent une preuve de concept de haute qualité qui fonctionne sur une version récente d'Android. Pour signaler des incidents au sein de l'écosystème Android et obtenir plus de détails techniques à ce sujet, vous devez entrer ici .

A noter que selon le dernier relevé publié par Google, les dépenses totales en Android ont doublé en 2021 : près de 3 millions de dollars ont été versés en récompenses, dont le paiement le plus élevé a été de 157 000 dollars - le plus important de son histoire - à certains chercheurs qui ont mis en garde contre la chaîne d'exploitation critique CVE-2021-39698.

Programme de bourses

En outre, les chercheurs peuvent également participer au Programme de subventions de recherche sur la vulnérabilité expérimentale , un système de subventions destiné à ceux qui souhaitent analyser plus en profondeur la sécurité de leurs produits et services. Pour vous inscrire à ce programme, vous devez entrer ici .

Les montants des subventions varient de 500 $ à 3 133,7 $, selon le type d'incident signalé. Six ans après le lancement de cette initiative, Google a assuré avoir accordé en 2021 plus de 200 000 dollars d'aide à plus de 120 chercheurs en sécurité à travers le monde.

Récompenses de sécurité du chipset Android

Il a également souligné qu'un Android Chipset Security Reward Program (ACSRP) a été lancé en 2021, un programme de récompense de vulnérabilité proposé par Google en collaboration avec les fabricants de ces composants développés par Android.

Il s'agit d'un projet privé auquel les parties intéressées ne peuvent participer que sur invitation . Au total, l'ACSRP a payé plus de 296 000 $ pour plus de 220 rapports de sécurité valides à ces chercheurs.

De son côté, Chrome VRP a également enregistré des chiffres record, puisque 115 chercheurs de ce programme de vulnérabilité ont été récompensés pour 333 rapports de bogues de sécurité uniques .

Grande communauté de chasse

L'année dernière, la société a lancé Google Bug Hunting Community, un portail de recherche public visant à assurer la sécurité des produits Google (Android, Chrome et Google Play) et d'Internet.

Il s'agit d'une plate-forme ouverte avec un formulaire de sécurité unique qui permet aux utilisateurs et aux chercheurs de signaler des bogues de sécurité et offre des opportunités interactives à travers des jeux et des classements par pays, entre autres. Pour faire partie de ce programme, vous devez entrer ici .

Les personnes intéressées à renforcer leur apprentissage dans cet aspect peuvent accéder au contenu disponible Bughunter University, un espace qui comprend des recommandations et des astuces pour détecter ces problèmes.

CONTINUER À LIRE: