Un an après avoir lancé son programme de récompense à destination des chasseurs de faille sur Android, Google fait le point. En un an, plus de 500 000 dollars ont été versés à 82 individus et pour corriger plus de failles, Google va augmenter le montant des récompenses.

Android-Security

Il y a tout juste un an, Google lançait un programme de chasse aux failles d’Android, Android Security Rewards. Le principe était simple, Google récompense les chercheurs qui trouvent des failles et qui aident Google à les combler. En un an, 82 chercheurs ont été récompensés par Google pour avoir rapporté des failles, et ont touché 550 000 dollars. Soit une moyenne 2200 dollars par failles et 6700 dollars par chercheur.


En savoir plus : Google a déjà versé 6 millions de dollars pour son programme de sécurité

Google indique par ailleurs que le chercheur le plus prolifique est un certain @heisecode, qui a rapporté 26 failles qui lui ont rapporté la coquette somme de 75 750 dollars. Google indique également que 15 chercheurs ont touché 10 000 dollars ou plus en un an. Google indique toutefois qu’aucun chercheur n’a jamais touché de prime pour avoir rapporté une faille liée à la TrustZone ou au Verified Boot. Cela ne signifie pas qu’Android ne souffre d’aucune faille à ce niveau, simplement que personne n’en a trouvé pour l’instant.

android programme securite

Les nouveaux montants des récompenses d’Android Security Rewards.

À l’occasion de son premier anniversaire, Google annonce avoir revu à la hausse les tarifs d’Android Security Rewards. Ces derniers ont été augmentés de 33 %, à condition toutefois de fournir une démonstration de faisabilité (ou proof of concept). Ce tarif peut d’ailleurs encore augmenter si un patch ou un Compatibility Test Suite est fourni. Si vous vous sentez l’âme d’un chasseur de bug, une page d’explications et de règles se consulte à cette adresse.