Y  aurait-il une certaine lassitude parmi les hackers et les experts en sécurité, en ce qui concerne la chasse aux bugs ? Il est vrai que les programmes "bug bounty" sont désormais nombreux. Google, Microsoft et Facebook en proposent, pour ne citer que ces grands noms.

En ce qui concerne la chasse aux bugs dans le navigateur Google Chrome, ce n'est pas la lassitude, mais la difficulté qui rend les découvertes de vulnérabilités - et donc l'attribution de primes - moins nombreuses. Tout simplement, d'après Google, grâce à tous les travaux menés, dont ceux effectués dans le cadre des bug bounty, la sécurité  dans Chrome a été considérablement augmentée. Donc la découverte de nouvelles failles est devenue beaucoup plus difficile en conséquence.

Si c'est plus difficile, il convient de récompenser davantage, ainsi que l'explique Mountain View dans un billet de blog intitulé Moins de bugs, plus d'argent.  Ce billet est accompagné d'une nouvelle grille de récompenses sur la page dédiée à la chasse aux bugs dans Chrome.

Tarifs qui ne sont d'ailleurs pas limitatifs vers le haut, Google pouvant envisager de rémunérer davantage, dans le cas d'une découverte à caractère exceptionnel.

Plus généralement, la grande classe c'est de trouver une vulnérabilité permettant de sortir de la sandbox du navigateur et de fournir à la fois un rapport de qualité ainsi qu'un exploit démontrant la vulnérabilité. Dans ce cas, la récompense offerte est de 15 000 dollars.

L'argent c'est bien, mais chez les hackers, la renommée c'est également très important. Google le sait et publiera le nom des champions dans son Hall of Fame des chasseurs de bugs :-)