Google a décidé de revoir à la hausse les primes offertes aux découvreurs de bugs dans ses produits. Une manière de séduire ceux qui pourraient court-circuiter chez certains le désir de monnayer autrement leurs découvertes.
De 500 à 15 000 dollars en fonction de l'importance du problème
Dans une annonce faite hier, Google a décidé d’augmenter singulièrement les sommes offertes aux découvreurs de bugs dans Chrome, en fonction de la taille du problème et des explications qui l’accompagnent. Jusqu’à présent, la récompense pouvait aller de 500 à 5 000 dollars. Nous avions cependant déjà vu que la firme pouvait aller au-delà, faisant des exceptions quand le bug était très sérieux ou pour « honorer » un travail réalisé sur un ensemble de problèmes.
Désormais, si les petits bugs seront toujours récompensés par une enveloppe de 500 dollars, les chercheurs pourront obtenir jusqu’à 15 000 dollars par faille détectée. Google se réserve dans tous les cas le droit d’aller plus loin afin de marquer le coup si un travail exceptionnel devrait être récompensé. Ce fut d’ailleurs le cas le mois dernier avec une prime de 30 000 dollars pour ce que la firme décrit comme un « rapport impressionnant ».
Un code d'exploitation obligatoire pour atteindre le maximum
Mais attention, car le palier de 15 000 dollars ne correspond pas tout à fait à l’ancien. L’éditeur précise ainsi que pour prétendre à la somme maximale, le découvreur d’une faille devra accompagner sa trouvaille d’explications claires, et surtout d’un code d’exploitation valide qui permettra aux ingénieurs de Mountain View d’en vérifier immédiatement le fonctionnement.
Par ailleurs, les chercheurs ont la possibilité d’envoyer l’ensemble des informations en deux temps : soumettre d’abord la vulnérabilité à l’examen, puis le code d’exploitation plus tard, quand il est prêt. Google estime que ce fonctionnement permettra à tout le monde d’être gagnant puisque le patch sera développé plus tôt et les chercheurs pourront revendiquer immédiatement la paternité de leurs découvertes.
Google ajoute deux petits bonus. Premièrement, cette nouvelle méthode de calcul va être appliquée rétroactivement sur l’ensemble des bugs soumis depuis le 1er juillet dernier. Des chercheurs recevront donc parfois un chèque supplémentaire. Deuxièmement, les bugs et failles de Chrome permettront à leurs découvreurs de figurer dans la liste des « Reward Recipients », ce qui permettra, selon Google, d’avoir « quelque chose à imprimer et à accrocher sur le réfrigérateur ».
Commentaires (15)
#1
Et sinon, les salariés dédiés à la sécurité et à la stabilité du navigateur, ils ont des primes aussi?
" />
Sinon, tant mieux qu’ils redistribuent un peu de leur argent pour renforcer Chrome.
#2
doublon
#3
j’ai découvert une faille c’est d’avoir installer chrome sur mon pc, est ce que je pourrait toucher la prime car c’est une trés grosse faille quand même???
" />
#4
Comment est ce que le montant est calculé? Et pourquoi le “jusqu’à”?
Quand une faille est trouvée, comment qualifient-ils la faille pour déterminer le montant?
#5
#6
Mouais sauf que sur le marché noir, une faille pour un navigateur genre Chrome ou IE/vista se négocie au moins à 50 000\(
D'ailleurs au concours pwn2own la recompense était de 100 000\) pour une faille IE/Chrome et 75 000\( pour une faille safari/firefox.
15 000\) pour un PoC fonctionnel c’est ridiculement bas. Un tel truc prend souvent plusieurs mois homme de développement.
#7
C’est toujours beaucoup moins cher qu’embaucher du monde pour le faire.
#8
#9
#10
#11