Google a dépensé en 2016 3 millions de dollars via son programme de chasse aux bugs, qui consiste à récompenser ceux qui lui signalent des vulnérabilités dans ses produits et logiciels.

Google dépense de plus en plus d’argent pour détecter et éliminer les bugs dans ses logiciels. C’est ce qui ressort du dernier bilan annuel publié en début de semaine par la firme de Mountain View, avec plus de 3 millions de dollars versés aux personnes qui lui ont signalé des vulnérabilités.

Sans surprise, les chasseurs de failles ont concentré leurs efforts sur les produits de la société qui sont les plus répandus chez le grand public, à savoir le navigateur web Chrome et le système d’exploitation pour mobile Android. Dans un cas comme dans l’autre, Google a versé près d’un million de dollars.

bug-bounty

Au passage, Google a donné quelques statistiques sur ces récompenses : elles ont bénéficié à plus de 350 personnes provenant de 59 pays différents. Elles se sont partagées plus d’un millier de rémunérations individuelles. Le gain le plus élevé a atteint 100 000 dollars, signe que la brèche en question devait être particulièrement grave.

En comparaison, Google n’a versé qu’un peu plus de 1,5 million de dollars en 2014 à ceux lui signalant des vulnérabilités et plus de 2 millions de dollars en 2015. Faut-il y voir une hausse des contributions extérieures ou le fait que les logiciels, parce qu’ils sont de plus en plus complexes, sont de plus en plus exposés ?

Google a accru sa présence à des évènements comme pwn2own et Pwnfest

Les deux, mon capitaine. « Nous avons accru notre présence à des événements se passant tout du monde, comme pwn2own et Pwnfest », explique l’entreprise américaine, qui sont des rendez-vous où les hackers sont justement invités à exposer les brèches qu’ils trouvent dans certains programmes.

Mais ce ne sont pas les seules raisons. Dans son billet de blog, Google fait savoir que son programme de chasse aux bugs a aussi été étendu à d’autres produits qui n’étaient pas concernés jusqu’à présent. C’est le cas par exemple du routeur Wi-Fi OnHub et des objets connectés vendus par Nest.

Un programme datant de 2010

C’est en 2010 que Google a lancé ce programme, d’abord en ciblant les brèches figurant dans son navigateur avant d’étendre le principe au reste de son écosystème. Pour la compagnie, c’est un excellent complément aux efforts que déploient ses équipes pour traquer les bugs dans les logiciels.

Et surtout, ce n’est pas cher payé au regard des enjeux de sécurité.

Mieux pour Google entretenir un programme annuel de quelques millions de dollars pour renforcer un peu plus la fiabilité de ses services et de ses produits plutôt que de s’exposer au risque de devoir verser des millions de dollars dans des procès parce que des données personnelles ont été compromises après l’exploitation de vulnérabilités.

Partager sur les réseaux sociaux