Quand le Vulnerability Reward Program a été lancé en 2010, l’idée était simple et un peu radicale. Plutôt que d’attendre qu’une faille soit vendue sur un forum clandestin ou exploitée en silence, autant rémunérer ceux qui la trouvent pour qu’ils la signalent. Le modèle a depuis été copié par à peu près toutes les grandes entreprises tech. Google en est à 81,6 millions de dollars cumulés versés depuis le premier jour.
L’IA reçoit sa propre ligne budgétaire
L’AI VRP, qui était jusqu’ici rattaché à l’Abuse VRP, fonctionne désormais avec un programme autonome, un périmètre documenté, des scénarios d’éligibilité précis et des barèmes de récompenses dédiés aux modèles de machine learning. Un chercheur qui repère une faille dans Gemini sait exactement quoi soumettre, dans quel format et ce qu’il peut espérer recevoir.
Chrome a suivi la même logique, car son programme de primes intègre désormais des catégories dédiées aux bugs détectés dans les fonctionnalités IA et Gemini du navigateur. Les programmes de chasse aux bugs doivent cartographier ce nouveau terrain avant que quelqu’un d’autre ne le fasse.
BugSWAT, le hacking en présentiel
Derrière le chiffre annuel record se cachent aussi quatre évènements sur invitation qui ont largement contribué. Les bugSWAT rassemblent des chercheurs sélectionnés pour tester en présentiel des surfaces d’attaque prioritaires (cloud, IA, Android). Le format n’est pas public, car on entre sur invitation, après sélection. Ensuite, on travaille sur des cibles précises avec une équipe Google disponible dans la salle.
En 2025, quatre sessions ont eu lieu :
- Sunnyvale (cloud) : 130 rapports validés, 1,6 million de dollars distribués.
- Mexico City (IA, Android, cloud) : 107 rapports, 566 000 dollars.
- Las Vegas : 77 rapports, 380 000 dollars.
- Tokyo (IA) : 70 rapports, 400 000 dollars.
Ces quatre sessions représentent à elles seules près de 3 millions de dollars, soit environ 17% du total annuel, concentrés sur quelques jours de travail intensif.
OSV-SCALIBR, payer pour améliorer la détection en amont
Google rémunère désormais les développeurs qui enrichissent OSV-SCALIBR, son outil open source de détection des vulnérabilités dans les dépendances logicielles.
Ce n’est pas de la chasse aux bugs au sens traditionnel. La construction d’infrastructure de sécurité collective est financée par des primes. Les contributions externes ont déjà permis de remonter des secrets internes qui n’auraient pas dû être accessibles.
Des rapports générés avec des outils IA
Ailleurs dans l’industrie, les faux rapports générés automatiquement par des outils d’IA commencent à saturer les boîtes de réception des équipes de sécurité. Le projet Curl a fermé son programme de bug bounty début 2025. Il a été constaté que moins d’un signalement sur vingt soumis sur l’année s’avérait réel. HackerOne a dû suspendre temporairement ses soumissions pour la même raison.
Google qui continue de miser sur l’IA n’a pas encore communiqué sur la part de faux positifs dans ses propres rapports.
