Parlons Techs - Toute L'Actualité sur La Technologie et La Science

Apprends Moi + -Des Formations en Ligne 100% à Votre Rythme, Montez en Compétence dès Aujourd'hui...

Google paid security researchers a record $8.7 million in 2021 for reporting bugs in its services - India Today

Pour devenir riche, devenez chercheur en sécurité ! Google a lancé une révision de son programme de chasse aux bugs spécifiquement conçu pour ses logiciels IA. Les meilleurs chasseurs pourront repartir avec 20 000 $ par bug.

Toutes les grandes entreprises de la tech — des géants comme Apple, Microsoft ou Meta jusqu’aux start-up les plus modestes — ont mis en place des programmes de « bug bounty ». Ils permettent aux chercheurs en sécurité, professionnels ou amateurs éclairés, de signaler des failles critiques avant qu’elles ne soient exploitées à mauvais escient.

L’IA de Google sous surveillance

En échange, ils reçoivent une prime proportionnelle à la gravité du problème découvert. Pour les entreprises, c’est une soupape essentielle : mieux vaut récompenser un découvreur honnête que de voir la faille revendue sur le marché gris, où elle pourrait servir à la prolifération d’outils de surveillance, des malwares ou des opérations de piratage.

Google vient de lancer une nouvelle version de son programme de chasse aux bugs dans ses logiciels et produits IA, lancé à l’origine en 2023, et qui améliore la lisibilité et les récompenses. Pour se qualifier, il ne suffit pas de signaler une hallucination de Gemini ! Le niveau de gravité le plus élevé du programme (S1) concerne les attaques dites « rogue actions ». Il s’agit de failles qui permettent de modifier l’état du compte ou les données d’un utilisateur.

Un exemple concret évoqué par Google est une injection de commande détournée capable de pousser un appareil Google Home à exécuter une action sans confirmation — comme déverrouiller une porte. À l’autre bout de l’échelle (niveau A6), on trouve les attaques de type « déni de service inter-utilisateurs ».

Ces vulnérabilités consistent à perturber une fonctionnalité ou un produit pour d’autres comptes, sans accès direct à ceux-ci. Par exemple, un profil mal formé rejoignant un événement public peut provoquer des plantages chez les autres participants. Google précise toutefois que ces tests ne doivent pas nuire à des comptes tiers ni s’appuyer sur des attaques de saturation massives.

Une faille S1 dans un produit « flagship » peut rapporter jusqu’à 20 000 $ ; on tombe à 500 $ pour une vulnérabilité A6. Google précise qu’il s’agit d’une grille standard ; le montant final est décidé par un panel qui peut ajuster la somme la qualité du signalement et d’autres facteurs. Le moteur de recherche peut également doubler la somme si la récompense est versée à une œuvre caritative.