Dans un billet de blog, Google a révélé qu’Aman Pandey, un chercheur indien en cybersécurité, fondateur et PDG de Bugsmirror, était l’un des meilleurs chercheurs du programme de récompense des vulnérabilités (VRP) du géant technologique l’année dernière. Pandey a découvert et soumis 232 vulnérabilités dans Android rien que l’année dernière. Il signalait des failles depuis 2019, et a jusqu’à présent soumis plus de 280 vulnérabilités valides au programme Android, selon le billet de blog.
La plupart des entreprises technologiques telles qu’Apple, Google, Microsoft et d’autres payent les chercheurs pour tous les « bugs » ou les failles logicielles que ces chercheurs peuvent localiser dans leurs produits. Ces récompenses sont communément appelées « Bugs bounty ».
« Je travaille sur la recherche en sécurité depuis presque quatre ans maintenant. La passion incessante et le travail acharné de l’équipe de Bugsmirror en matière de recherche sur la sécurité nous ont permis de concevoir et de développer des applications indigènes intégrant des algorithmes. Ceux-ci nous ont permis de localiser les vulnérabilités à une vitesse et une précision inégalées. Des programmes comme celui-ci (celui de Google) ont aidé non seulement les entreprises de recherche comme la nôtre, mais aussi les utilisateurs en général à comprendre l’importance de la recherche sur la confidentialité et la sécurité », a déclaré M. Pandey à indianexpress.com.
Selon Google, la société a versé 8,7 millions de dollars dans le cadre de son programme de récompense des vulnérabilités (VRP) en 2021. Pour Android seulement, ce chiffre s’élevait à 3 millions de dollars (2 935 244 $ ou environ 22 crore de roupies) en récompenses. C’est presque le double du chiffre de l’année précédente. Au total, 119 chercheurs du monde entier ont été récompensés pour avoir trouvé des failles critiques dans Android.
Cette année, le programme a également accordé le paiement le plus élevé de l’histoire : 157 000 dollars pour une chaîne d’exploitation découverte dans Android. Il a également offert une prime de 1,5 million de dollars pour la découverte de failles dans sa puce de sécurité Titan-M que la société utilise dans ses appareils mobiles Pixel. Le prix n’a pas encore été réclamé.
Le billet de blog fait également une mention spéciale à Yu-Cheng Lin, un chercheur chinois en sécurité Android, qui a soumis un total de 128 rapports valides en 2021.
Dans le cadre du programme de prime de Google pour son navigateur Chrome, 115 chercheurs ont reçu un total de 3 288 000 dollars (environ 24,6 milliards de roupies). Sur ce montant total, 3,1 millions de dollars ont été attribués pour les vulnérabilités du navigateur Chrome et 250 000 dollars pour les vulnérabilités de Chrome OS.
Le chercheur Rory McNamara, spécialiste des vulnérabilités de Chrome OS, a remporté 45 000 dollars, soit le prix le plus élevé décerné dans le cadre du programme, pour avoir signalé un bogue d’escalade des privilèges root. De telles failles peuvent permettre à un attaquant d’obtenir un accès illicite à des droits et privilèges élevés avec un appareil ou ce que l’on appelle également le privilège d’accès à la racine.
Le VRP Google Play a versé 550 000 $ de récompenses à 60 chercheurs en sécurité. Les gagnants du VRP de Google Cloud Platform pour 2021 n’ont pas été annoncés.