Google a reconfiguré ses programmes de récompenses de vulnérabilité pouret, en même temps, s'adapter aux faibles paiements pour les vulnérabilités dont la détection est devenue banale avec les outils d'intelligence artificielle. Le changement redéfinit ce qui est valorisé : les plus grands chèques - vers le haut 1,5 million de dollars- sont réservés à des scénarios d'exploitation extrêmes, tels que des chaînes "zéro-clic" complètes qui compromettent la puce de sécurité Titan M2 sur les téléphones Pixel et qui persistent également après le redémarrage, tandis que les variantes non persistantes restent à des niveaux intermédiaires (jusqu'à 750 000 $).
Dans le champ navigateur, Google a augmenté les récompenses pour processus de navigateur à chaîne complète exploite dans des environnements mis à jour, avec des prix allant jusqu'à 250 000 $ et un bonus supplémentaire spécifique - 250 128 $ - si le chercheur est en mesure de violer des missions protégées par MiraclePtr. Mais au-delà des chiffres, la réforme apporte deux changements opérationnels qui marqueront la relation entre les chercheurs et le programme: dans Chrome, Google nécessite des rapports concis avec des tests reproductibles plutôt qu'une analyse narrative étendue (que l'IA peut facilement générer), et sur Android l'attention est limitée aux vulnérabilités du noyau Linux dans les composants maintenus par Google ou à des défaillances exploitables démontrées sur de vrais appareils Android.
Cette réorientation répond à une double réalité : d'une part, l'automatisation et les outils IA ont permis de générer de longues descriptions et analyses techniques avec beaucoup moins d'effort humain, diluant la valeur de ces rapports ; d'autre part, les vecteurs à fort impact continuent à exiger une expertise, du temps et un accès physique ou logique sophistiqué, de sorte que Google cherche à les reconnaître avec des prix plus élevés et à les prioriser dans son triage. Google explique ces changements dans son blog officiel, où il résume la philosophie et les nouvelles règles du programme: Évolution des VRPC Android et Chrome pour l'ère de l'IA. Pour ceux qui veulent consulter l'historique de l'initiative et son évolution, le programme de récompense de Google est en place depuis 2010 et accumule des paiements importants: l'entrée initiale et la page du programme offrent le contexte et les critères d'éligibilité.
Qu'est-ce que cela signifie pour l'écosystème de sécurité? Premièrement, une incitation claire à la recherche axée sur des exploits complexes ou ayant un impact réel sur les appareils, ce qui augmentera probablement la qualité technique des vulnérabilités signalées dans les catégories supérieures. Deuxièmement, il y a un risque de baisse des salaires pour les échecs qui pourraient auparavant être signalés avec des descriptions détaillées et qui sont maintenant découragés : les chercheurs ayant moins de ressources ou les nouveaux arrivants pourraient choisir de vendre leurs résultats à des marchés gris plutôt que de les déclarer si les paiements sont inférieurs à ce qui est attendu. Troisièmement, la demande de preuves concrètes rendra l'obstacle technique à l'obtention d'une récompense plus élevée - pas assez pour décrire un bug, il est nécessaire de démontrer l'exploitabilité dans des conditions réelles - qui peut à son tour accélérer la maturité des tests de concept public.
Pour les équipes de sécurité et les administrateurs, la restructuration de Google apporte des signaux pratiques: ne se fient pas seulement à de longues descriptions, prioriser la vérification automatique et la reproductibilité des correctifs, et préparer les flux de correction qui intègrent les outils d'analyse pilotés par l'IA pour accélérer les résolutions. Le renforcement de fonctions telles que MiraclePtr souligne l'importance de l'atténuation de la mémoire et de couches supplémentaires de défense; il est donc recommandé d'évaluer la compatibilité avec ces technologies et de mesurer leur efficacité dans les environnements contrôlés avant qu'ils ne soient déployés massivement.
Pour les chercheurs et les chasseurs d'insectes, le message est clair : axer les efforts sur les données techniques. Présenter des essais de concepts exécutables, une capture minimale et, le cas échéant, des démonstrations de matériel ou de système d'exploitation à jour. Démontrer la persistance ou l'exploitation dans le monde réel sera crucial pour aspirer à des récompenses maximales. Il convient également de documenter l'ampleur de l'impact et de travailler avec les équipes de patch pour faciliter la médiation, car Google a déclaré que ses propres instruments et outils internes couvrent de plus en plus le travail d'analyse et de génération de correctifs.
Enfin, du point de vue de la politique et de la responsabilité de l'entreprise, ces changements suggèrent que les programmes de primes aux bogues continueront de s'adapter à l'ère de l'IV : les organismes de réglementation et les entreprises devraient envisager des cadres qui favorisent la divulgation responsable, offrent une protection juridique aux chercheurs et encouragent la publication de corrections plutôt que la monétisation sur des marchés opaques. Alors que Google a déclaré une année record en paiements - 17,1 millions de dollars en 2025 - et un cumulatif qui dépasse 81 millions de dollars depuis le lancement du programme, le succès réel sera mesuré dans combien de ces vulnérabilités sont enchaînées et combien de risques pour les utilisateurs finaux sont réduits.
Bref, la réforme du programme de récompense de Google est une réponse pragmatique à l'automatisation que l'IV apporte: plus d'argent pour le difficile, plus de demande de preuves pour le reste. Pour le secteur, la décision exige l'ajustement des priorités, l'amélioration de l'automatisation du triage et le renforcement de la collaboration entre les chercheurs et les fournisseurs pour traduire l'incitation économique en logiciels plus sûrs et en attaques moins efficaces.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...
PinTheft l'explosion publique qui pourrait vous donner racine sur Arch Linux
Une nouvelle explosion publique a fait ressortir la fragilité du modèle de privilèges Linux : l'équipe de sécurité V12 a qualifié l'échec de Vol d'épingles et publié un test de ...