Google paid $17.1 million for vulnerability reports in 2025
Mis à jour :
Record historique des récompenses Google VRP en 2025
En 2025, Google a versé un montant record de 17,1 millions de dollars à 747 chercheurs en cybersécurité via son programme de primes aux vulnérabilités (VRP), marquant une augmentation de 40 % par rapport à 2024. Depuis le lancement du programme en 2010, le cumul des récompenses dépasse désormais 81,6 millions de dollars.
Points clés :
- Diversification des programmes : Google a étendu ses primes à l’intelligence artificielle (IA) et a lancé un programme spécifique pour l’outil open source OSV-SCALIBR.
- Répartition des primes :
- Chrome VRP : 3 716 750 $ (plus de 100 chercheurs récompensés).
- Cloud VRP : 3 574 399 $.
- Android et périphériques Google : plus de 2 900 000 $.
- Engagement communautaire : La prime individuelle la plus élevée versée en 2025 a atteint 250 000 $.
Vulnérabilités :
- L’article mentionne principalement le MiraclePtr Bypass comme une cible critique ayant fait l’objet d’incitations financières accrues. Aucun identifiant CVE spécifique n’est cité pour les failles découvertes en 2025, le texte se concentrant sur les statistiques globales du programme.
Recommandations :
- Collaboration externe : Google encourage activement les chercheurs en cybersécurité à rejoindre son programme VRP pour identifier les failles avant qu’elles ne soient exploitées.
- Adaptation technologique : Les organisations doivent prioriser la sécurité des systèmes basés sur l’IA et les outils de gestion des dépendances open source (type OSV-SCALIBR) pour répondre à l’évolution des menaces.
- Veille proactive : Il est conseillé aux développeurs et aux équipes de sécurité de surveiller les techniques émergentes, notamment celles capables de contourner les protections mémoires et les environnements de sandbox.