Google a revu en profondeur ses deux principaux programmes de récompenses pour la découverte de vulnérabilités, ciblant Android et Chrome. Les montants offerts atteignent désormais des niveaux inédits pour les scénarios d’attaque les plus complexes.
Cette refonte intervient après une année record : l’entreprise a distribué 17,1 millions de dollars à 747 chercheurs en 2025, soit une progression de plus de 40 % par rapport à 2024. Depuis le lancement du programme en 2010, le total cumulé dépasse 81,6 millions de dollars.
Un million et demi pour les exploits les plus exigeants
La récompense maximale de 1,5 million de dollars cible un scénario très précis : un exploit en chaîne complète, sans interaction de l’utilisateur, visant la puce de sécurité Titan M2 des appareils Pixel, avec persistance après redémarrage. Ce type d’attaque représente le niveau de difficulté technique le plus élevé du programme.
Le même exploit, mais sans persistance, est éligible à une prime pouvant aller jusqu’à 750 000 dollars. Ces deux paliers signalent clairement que Google souhaite mobiliser les chercheurs sur des vecteurs d’attaque que les équipes internes peinent à anticiper seules.
Chrome aussi dans la course, avec un bonus sur MiraclePtr
Du côté de Chrome, les exploits en chaîne complète visant le processus du navigateur sur des systèmes et matériels à jour sont désormais récompensés jusqu’à 250 000 dollars. Un bonus supplémentaire de 250 128 dollars s’ajoute pour les chercheurs qui parviennent à contourner la protection mémoire MiraclePtr.
Google précise également que le programme Chrome évolue sur la forme des rapports attendus. L’entreprise privilégie désormais des soumissions concises, centrées sur les preuves de concept et les artefacts essentiels, plutôt que des analyses détaillées que les outils d’intelligence artificielle peuvent générer automatiquement.
L’IA redessine les contours du programme
La montée en puissance de l’IA a modifié l’équilibre du bug bounty. Si elle facilite la rédaction de rapports volumineux, elle simplifie aussi la détection de certaines catégories de failles. En conséquence, Google réduit les primes sur les vulnérabilités que ses propres outils internes peuvent désormais identifier et corriger plus facilement.
Le programme Android resserre également son périmètre côté noyau Linux : les vulnérabilités ciblées sont désormais limitées aux composants maintenus par Google, sauf si le chercheur peut démontrer une exploitabilité concrète sur un appareil Android. Cette restriction vise à concentrer les efforts sur les risques réels plutôt que sur des failles théoriques.
Une stratégie assumée pour les risques les plus difficiles
Google justifie cette restructuration par la volonté de renforcer la collaboration avec la communauté de recherche sur les vecteurs d’attaque les plus difficiles à détecter en interne. La société indique s’attendre à ce que le total des primes versées en 2026 augmente, malgré la baisse de certains montants individuels.
Cette orientation reflète une logique économique claire : mieux vaut payer des chercheurs indépendants pour découvrir les failles les plus critiques que laisser ces mêmes failles être exploitées par des acteurs malveillants sur des marchés parallèles.
Source : Bleeping Computer
