Les programmes de primes aux bogues ont ouvert une nouvelle façon pour les chercheurs en sécurité de gagner des récompenses en espèces en identifiant les menaces potentielles dans certains logiciels. Google est l’une des entreprises qui propose de tels programmes, offrant des récompenses allant jusqu’à 30 000 $ pour l’identification d’une seule vulnérabilité dans leurs services et logiciels. Parmi les autres fournisseurs de technologie proposant de tels programmes figurent Fitbit et Waymo.
Pour recevoir le paiement maximum, les chercheurs doivent suivre les règles établies par Google. Pour une vulnérabilité de code malveillant dans le navigateur Web Chrome, le paiement le plus élevé est possible lorsque le chercheur est capable d’exécuter son propre code sans l’implication d’une victime potentielle. Si un attaquant doit agir en tant qu’homme du milieu sur le réseau, la prime tombe à 2 250 $.
La découverte de vulnérabilités de fuite de données peut rapporter jusqu’à 7 500 $ si les données des utilisateurs sont compromises. Un maximum de 5 000 $ est possible si les données de l’utilisateur ne sont pas compromises. Les attaques qui nécessitent des privilèges root ou des clés API codées en dur ne sont pas éligibles pour les récompenses.
De telles récompenses peuvent être très lucratives pour les chercheurs en sécurité expérimentés. Google à lui seul a payé plus de 12 millions de dollars pour plus de 2 900 vulnérabilités signalées en 2022. D’autres sociétés telles qu’Intel et Nintendo proposent également de tels programmes.
