Google se félicite du programme VRP (Vulnerability Reward Program) engagé en 2010 pour rémunérer les hackers capables de détecter des failles informatiques, et d’en informer la firme. Au total, 21 millions de dollars auraient déjà été versés à cet effet, avec un record de 6,5 millions de dollars rien que pour l’année 2019, rappelle Venture Beat. Si ces chiffres peuvent sembler impressionnants, Google considère toutefois cette solution comme bien plus rentable.

Mieux vaut prévenir que guérir à Mountain view

Le principe est simple, et bien connu. Google n’est pas la seule société à pratiquer ce système de récompense mis en place sous la forme d’un programme communément appelé « bug bounty ». Facebook, habitué au concept, déclarait en octobre 2019 avoir étendu les capacités de son programme . Apple faisait de même en décembre 2019, dévoilant ainsi les nouvelles règles jugées très strictes pour pouvoir prétendre à une rémunération quelconque.

Pour Google, les sommes versées représentent un certain investissement, ayant également mis en place ce système pour Chrome, Android, et Google Play. Si les récompenses n’ont cessé de croître depuis 2015, comme le montre le schéma ci-dessous, le coût est moindre comparé aux dégâts que pourrait causer le piratage d’un logiciel.

Graphique

Récompenses versées depuis 2015 par Google / Crédit : Google VRP

Pour continuer de favoriser l’engagement de la part des chercheurs en sécurité, la firme n’a pas hésité à organiser des événements comme BountyCon à Singapour, ou ESCA8 à Londres. Ce type de rencontre est censée permettre à Google de mieux connaître chacun… et vive la communication, mais surtout aux spécialistes de partager leur expérience, voire de travailler ensemble. Il est certain que la firme a tout intérêt à maintenir ce type de programme : 21 millions de dollars sur dix ans, soyons lucides, cela ne représente pas grand chose pour le géant technologique.