Depuis 2010, Google récompense les chercheurs en sécurité qui identifient des failles dans ses produits. En 2025, le géant technologique a versé une somme record à ces experts, témoignant de l’importance croissante de leur contribution à la sécurité des technologies modernes. Découvrons comment ce programme continue de s’adapter et de s’étendre pour répondre aux nouvelles menaces.
L’essentiel à retenir
- Le Vulnerability Reward Program (VRP) de Google a distribué plus de 81 millions de dollars depuis 2010.
- En 2025, 17,1 millions de dollars ont été versés à plus de 700 chercheurs, marquant une augmentation de 40% par rapport à l’année précédente.
- Le programme a intégré de nouvelles catégories, notamment l’intelligence artificielle et l’outil OSV-SCALIBR.
Évolution du Vulnerability Reward Program
Lancé en 2010, le Vulnerability Reward Program (VRP) de Google a progressivement évolué pour inclure divers produits et technologies. Initialement centré sur des plateformes telles qu’Android et Chrome, le programme s’est élargi pour couvrir les services cloud et les logiciels open source. En 2025, l’introduction de l’intelligence artificielle dans le VRP a marqué une nouvelle étape, soulignant la priorité de Google à sécuriser ses innovations technologiques.
Avec un montant total de 81,6 millions de dollars versés en 15 ans, le VRP continue de s’adapter aux nécessités de la sécurité numérique. Cette expansion permet non seulement d’anticiper les menaces potentielles mais aussi de renforcer la confiance des utilisateurs dans les produits Google.
Focus sur l’intelligence artificielle et le cloud
En 2025, l’intelligence artificielle a été mise en avant avec la création d’un programme dédié, dissocié de l’Abuse VRP. Cette initiative permet aux chercheurs de cibler spécifiquement les vulnérabilités dans les modèles de machine learning et les fonctions IA, comme celles de Gemini. Des règles précises et des barèmes de récompenses ont été établis pour chaque scénario éligible, facilitant ainsi le travail des chercheurs.
Les sessions de hacking sur invitation, appelées bugSWAT, ont aussi contribué à l’amélioration des dispositifs de sécurité. Des événements organisés dans des villes comme Tokyo, Sunnyvale et Mexico City ont permis d’explorer des surfaces d’attaque ciblées, impliquant l’IA, Android et le cloud, et générant des récompenses significatives pour les participants.
Impact des outils open source et défis liés à l’IA
Avec l’introduction d’OSV-SCALIBR, Google a renforcé sa stratégie de sécurité en open source. Cet outil détecte les vulnérabilités dans les dépendances logicielles, permettant aux chercheurs de contribuer activement à l’amélioration de la sécurité des applications. Des primes sont offertes pour enrichir cet outil, encourageant les contributions externes.
Toutefois, l’usage croissant des outils d’intelligence artificielle pour générer des rapports de bugs a suscité des défis. Des cas de fausses alertes ont été rapportés, comme avec le projet Curl, où une infime partie des signalements s’est révélée véridique. Cette situation a conduit certaines équipes, dont HackerOne, à revoir temporairement leurs procédures de soumission.
L’avenir de la sécurité informatique et des bug bounties
Avec les avancées technologiques incessantes, la sécurité informatique demeure une priorité. Les programmes de bug bounties, tels que celui de Google, illustrent l’importance de la collaboration entre entreprises et chercheurs indépendants pour anticiper et neutraliser les menaces. À mesure que les technologies évoluent, ces initiatives continueront d’adapter leurs stratégies pour relever les défis de demain, notamment avec l’essor de l’IA et de l’Internet des objets (IoT).
