Évolution du programme Google de récompense pour la découverte de failles de sécurité en 2025

En 2010, lorsqu’un petit groupe de passionnés a commencé à explorer les entrailles des produits Google, peu auraient pu prédire l’ampleur que prendrait leur travail quinze ans plus tard. Aujourd’hui, ces chercheurs indépendants se voient non seulement remerciés, mais aussi largement récompensés pour leur contribution cruciale à la sécurité numérique. En 2025, ce programme de reconnaissance a franchi des étapes importantes, marquant un tournant dans l’approche de Google envers la cybersécurité.

Les 3 points importants

• En 2025, Google a versé 17,1 millions de dollars aux chercheurs en cybersécurité, un montant record depuis le début du programme.
• La dissociation de l’AI VRP de l’Abuse VRP a permis d’apporter plus de clarté et un meilleur encadrement aux chercheurs.
• Des sessions de hacking sur invitation, appelées bugSWAT, ont été organisées dans diverses villes pour tester la sécurité des produits Google.

Le programme de récompense de Google en 2025

Depuis sa création en 2010, le Vulnerability Reward Program (VRP) de Google a permis de distribuer un total impressionnant de 81,6 millions de dollars aux chercheurs en sécurité. En 2025, ce programme a atteint un nouveau sommet en distribuant 17,1 millions de dollars, marquant ainsi une augmentation de plus de 40 % par rapport à l’année précédente. Ce chiffre record témoigne de l’importance des contributions des chercheurs externes. Ces experts, venus des quatre coins du monde, jouent un rôle crucial en identifiant les failles de sécurité présentes dans les produits Google.

Focus sur l’intelligence artificielle et le cloud

En 2025, l’intelligence artificielle est devenue un domaine prioritaire dans la chasse aux bugs chez Google. Le lancement de l’AI VRP, séparé de l’Abuse VRP, a permis de clarifier les règles pour les chercheurs. Ces derniers savent désormais quels scénarios sont éligibles et le montant qu’ils peuvent espérer pour une découverte. De plus, le Chrome VRP a étendu ses catégories pour inclure les bugs liés à l’intelligence artificielle dans le navigateur.

Parallèlement, des sessions de hacking sur invitation, appelées bugSWAT, ont été organisées. Ces événements ont permis à des chercheurs invités de tester en direct des surfaces d’attaque spécifiques. Les sessions de 2025 ont eu lieu dans des villes stratégiques telles que Tokyo, Sunnyvale, Las Vegas et Mexico City, couvrant des domaines allant de l’IA au cloud.

Le programme OSV-SCALIBR et ses impacts

Google a également mis en place un programme de primes autour de l’outil open source OSV-SCALIBR, dédié à la détection des vulnérabilités dans les dépendances logicielles. Ce programme encourage les chercheurs à analyser les composants tiers intégrés dans les applications. Les développeurs qui contribuent à ce projet en ajoutant de nouveaux modules reçoivent des récompenses. Grâce à cet outil, des informations sensibles, qui auraient dû rester inaccessibles, ont déjà été décelées.

Conséquences de l’usage des outils d’IA pour les rapports de bugs

Début 2026, une nouvelle dynamique s’est installée dans le domaine de la chasse aux bugs. L’utilisation croissante des outils d’intelligence artificielle pour générer automatiquement des rapports a commencé à créer des tensions. Certains programmes, comme celui du projet Curl, ont été suspendus à cause de la prolifération de faux rapports. Moins de 5 % des signalements en 2025 se sont avérés légitimes, selon Daniel Stenberg, développeur principal du projet Curl. De même, HackerOne a dû temporairement interrompre ses soumissions.