Discussion :

[Michael Guilloux]

Google lance un programme de subvention des chercheurs en sécurité
pour les encourager à rechercher les bugs dans ses produits et services

La firme de Mountain View est plus que jamais déterminée à éliminer toutes les vulnérabilités qui pourraient affecter ses produits et services.
Pour cela, Google avait déjà mis en place des programmes pour récompenser les chercheurs qui reportaient des bugs dans ses différents produits et services.

Ces programmes ont permis de récompenser, seulement en 2014, plus de 200 différents chercheurs pour plus de 500 bugs qui ont été reportés. D'après Google, les contributions de ces chercheurs ont permis de corriger ces vulnérabilités avant qu'elles ne causent de graves dommages aux utilisateurs.
En chiffres, c'est plus de 1,5 million de dollars que Google a déboursés pour récompenser les chercheurs en 2014 ; la plus grande récompense était de 150 000$, accompagné d’un stage à Google pour le chercheur récompensé. En somme, depuis 2010, c’est plus de 4 millions de dollars de récompenses.

La collaboration de la communauté des chercheurs en sécurité, combinée aux efforts internes des équipes de sécurité de Google ont permis de rendre les produits et services Google plus sûrs et donc de rendre de plus en plus difficile la découverte de nouveaux bugs.

Pour encourager les chercheurs à continuer à rechercher des vulnérabilités dans certains produits et services de Google, l'entreprise a lancé un programme de subvention pour soutenir ces derniers.

« Tout d'abord, les efforts des chercheurs à travers ces programmes, combinés à notre propre travail de sécurité en interne, font qu'il est de plus en plus difficile de trouver des bugs. Bien sûr, c'est de bonnes nouvelles, mais il peut aussi être décourageant lorsque les chercheurs investissent leur temps et peinent à trouver des problèmes. Avec cela à l'esprit, aujourd'hui, nous lançons un nouveau programme expérimental : Subventions des recherches de vulnérabilité. » A écrit l'entreprise dans un billet de blog.


Google a annoncé que ces subventions qui vont de 1 337 $ à 3 133,7 $ viennent pour « récompenser les chercheurs en sécurité qui investissent leur temps dans la recherche de bugs des produits et services, même dans le cas où aucune vulnérabilité n'a été trouvée ». L'entreprise a ajouté que si, en plus de la subvention, une vulnérabilité est trouvée, le chercheur sera également admissible à une récompense dans le cadre de son programme habituel de récompense des chasseurs de bugs.

Il faut aussi préciser que Google a décidé de subventionner les chercheurs seulement pour certains produits et services, en particulier, des services et fonctionnalités nouvellement lancés et des produits sensibles.

Par ailleurs, l'entreprise a annoncé que « toutes les applications mobiles officiellement développées par Google sur Google Play et iTunes seront désormais prises en compte dans le cadre du Programme de récompense de vulnérabilité ».

Sources : Google online Security Blog, Vulnerability Research Grant Rules

Vous êtes un chercheur en sécurité et vous êtes intéressé, postulez pour bénéficier de la subvention

Que pensez-vous du programme de subvention de Google ?

[Saverok]

Que pensez-vous du programme de subvention de Google ?

Difficile d'être contre.
Je me pose juste la question de savoir comment les chercheurs subventionnés vont devoir justifier qu'ils cherchent effectivement (et qu'ils ne se content pas de dire "je cherche sans rien trouver" alors qu'ils n'en foutent pas une)
Si par exemple, ils doivent fournir la liste de leurs tests et de leurs pistes de recherches, cela pourrait donner trop d'indication à Google qui pourrait anticiper des correctifs avant que les chercheurs n'aient eu le temps de poursuivre et éventuellement trouver un bug. Les privant ainsi de la récompense (et de la satisfaction d'avoir trouvé)

[Shuty]

Difficile d'être contre.
Je me pose juste la question de savoir comment les chercheurs subventionnés vont devoir justifier qu'ils cherchent effectivement (et qu'ils ne se content pas de dire "je cherche sans rien trouver" alors qu'ils n'en foutent pas une)

Subventions par recherches, avec pistes, items checké, fails, results etc.. C'est en quelque sort le même rapport que te founit les équipe qualité lorsqu'ils font des test sur ton appli.

Si par exemple, ils doivent fournir la liste de leurs tests et de leurs pistes de recherches, cela pourrait donner trop d'indication à Google qui pourrait anticiper des correctifs avant que les chercheurs n'aient eu le temps de poursuivre et éventuellement trouver un bug. Les privant ainsi de la récompense (et de la satisfaction d'avoir trouvé)

Je ne pense pas que nous soyons dans un système où l'un veut doubler l'autre.

[Jonyjack]

Je vais certainement jeter un pavé dans la mare avec cette découverte fracassante mais je prends le risque () :

1 337 $ => Leet
3 133,7 $ => Eleet => Elite

Ils ont le sens de l'humour même avec les salaires

[JayGr]

On aura jamais vu des stagiaires aussi efficaces...

@+