Google paye les utilisateurs qui trouvent des failles
Charles Gouin-Peyrot
Publié le 24 mai 2023 · 2 min de lecture
Le programme de récompense des vulnérabilités (Vulnerability Reward Program ou VRP) que Google vient de dévoiler pour ses applications Android vous permettra d'être récompensé si vous tombez sur un problème que Google ne veut pas que les acteurs malveillants découvrent. L'entreprise disposait déjà d'un tel programme pour Android et ses applications open-source, mais elle en déploie désormais un pour les applications Google.
En fonction du problème que vous signalez, de sa gravité et de l'application qu'il affecte, vous pouvez obtenir une récompense monétaire, dont le montant varie en fonction du niveau auquel appartient l'application et de la gravité du problème.
Il existe trois niveaux possibles, le plus important étant le niveau 1, une catégorie réservée exclusivement aux services Google Play, à Google Cloud, à Google Chrome, à Gmail, à Chrome Remote Desktop et, bien sûr, à l'application Google elle-même. Les applications de niveau 2 sont toutes les applications tierces qui interagissent avec les applications de niveau 1 ou qui interagissent avec les données des utilisateurs ou les services Google. Enfin, les applications de niveau 3 sont celles qui n'interagissent pas avec les services Google et ne gèrent pas de données utilisateur.Google has added a new Vulnerability Reward Program (VRP) called the Mobile VRP that focuses on its first-party Android apps.
Security researchers that disclose qualifying vulnerabilities impacting Android apps developed or maintained by Google can be rewarded depending on the… pic.twitter.com/v7RszpNUPF — Mishaal Rahman (@MishaalRahman) May 23, 2023
En ce qui concerne le montant du prix, si vous réussissez à trouver une vulnérabilité permettant l'exécution de code arbitraire à distance sur une application de niveau 1, Google vous offrira avec enthousiasme 30 000 dollars.
La récompense passe à 25 000 dollars si vous trouvez un problème tout aussi grave sur une application de niveau 2, et à 20 000 dollars pour une application de niveau 3.
À partir de là, les prix diminuent en fonction de la gravité du problème : une vulnérabilité permettant à un pirate d'attaquer au sein du même réseau sur une application de niveau 3 ne vous rapportera que 500 dollars. L'auteur
Charles Gouin-Peyrot
Journaliste tech et testeur indépendant, je décrypte la tech grand public. Spécialisé dans le hardware, l'audio et la maison connectée, je mets ma rigueur technique et mon expérience de formateur au service de mes tests. Mon objectif est simple : dépasser les fiches techniques pour vous livrer des analyses transparentes, impartiales et ancrées dans un usage 100 % réel.