<p><img src="https://www.bleepstatic.com/content/hl-images/2022/08/31/google-lights.png" alt="Google"></p> <p><strong>Google</strong> met à jour de manière significative ses programmes de récompenses pour les vulnérabilités Android et Chrome (VRP), offrant des primes substantielles pour les exploits les plus difficiles tout en recalibrant les paiements pour les failles que l'intelligence artificielle (IA) peut désormais identifier plus facilement.</p> <h3>Récompenser la complexité</h3> <p>La récompense maximale de 1,5 million de dollars est réservée aux exploits zero-click sur la puce de sécurité Titan M2 de <strong>Pixel</strong> avec persistance. Cela représente le scénario d'attaque le plus exigeant techniquement du programme. Les mêmes exploits, mais sans persistance, sont éligibles jusqu'à 750 000 dollars.</p> <p>Pour <strong>Google Chrome</strong>, les exploits de processus de navigateur en chaîne complète sur les systèmes d'exploitation et le matériel à jour rapportent désormais jusqu'à 250 000 dollars, avec un bonus supplémentaire de 250 128 dollars pour l'exploitation réussie des allocations mémoire protégées par MiraclePtr.</p> <p>« Nous savons que certains exploits particulièrement impactants restent incroyablement difficiles à réaliser et nous avons grandement apprécié notre collaboration avec la communauté des chercheurs pour les découvrir et les déterrer », a déclaré <strong>Google</strong> dans un article de blog. « Nous voulons renforcer ce partenariat en continuant à mettre l'accent sur les niveaux de récompenses les plus élevés pour Android et Chrome. »</p> <h3>S'adapter à l'IA dans la chasse aux bugs</h3> <p><strong>Google</strong> adapte son approche des rapports de vulnérabilité compte tenu des capacités croissantes de l'IA. Pour le programme Chrome, l'accent est mis sur des rapports concis contenant uniquement des preuves de bugs et des artefacts essentiels, plutôt que sur de longues analyses écrites que l'IA peut désormais générer automatiquement.</p> <p>Le programme Android concentrera ses efforts sur les vulnérabilités du noyau Linux dans les composants maintenus par <strong>Google</strong>, à moins que les chercheurs ne puissent démontrer une exploitabilité concrète sur les appareils Android.</p> <p>« Bien que l'IA ait rendu facile la production de longs rapports détaillés, nos outils internes ont également évolué pour nous aider à expliquer automatiquement les bugs et à suggérer des correctifs », a ajouté l'entreprise.</p> <h3>Année record pour les primes aux chercheurs de bugs</h3> <p>Cette restructuration des VRP fait suite à une année record pour les efforts de primes aux chercheurs de bugs de <strong>Google</strong>. L'entreprise a versé 17,1 millions de dollars à 747 chercheurs en 2025, soit une augmentation de plus de 40 % par rapport à 2024 et un record absolu.</p> <p>Depuis le lancement du programme en 2010, les paiements totaux ont dépassé 81,6 millions de dollars. <strong>Google</strong> prévoit que le total des récompenses globales versées en 2026 augmentera malgré des réductions sur certaines montants de récompenses individuelles.</p> <p><img src="https://www.bleepstatic.com/c/p/autonomous-validation2.jpg" alt="article image"></p>