Google a récemment publié son compte-rendu en ce qui concerne ses Vulnerability Reward Programs (VRP) en 2022.
La réponse est non, pas oui.
C’est certes une bonne chose de récompenser ceux qui trouvent des failles, mais c’est aussi et surtout en moyen d’assurer la sécurité d’un produit à moindre coût en faisant travailler des gens dessus gratuitement.
Parce que pour un type qui touche le jackpot parce qu’il a trouvé LA faille grave qui rapporte, t’en as 10 qui touchent des clopinettes alors qu’ils ont travaillé des heures mais n’ont trouvé que des petites failles rapportant peu et 100 qui touchent rien du tout malgré des heures à bosser…
C’est comme les boîtes qui organisent des concours de design pour leur nouveau produit ou leur nouveau logo… Elles ont ainsi des propositions de dizaines de graphistes et designers, mais n’en payent qu’un seul, celui qui est finalement retenu…
7 « J'aime »
Vous savez, moi je ne crois pas qu’il y ait de bonne ou de mauvaise situation. Moi, si je devais résumer ma vie aujourd’hui avec vous, je dirais que c’est d’abord des rencontres. Des gens qui m’ont tendu la main, peut-être à un moment où je ne pouvais pas, où j’étais seul chez moi. Et c’est assez curieux de se dire que les hasards, les rencontres, forgent une destinée… Parce que quand on a le goût de la chose, quand on a le goût de la chose bien faite, le beau geste, parfois on ne trouve pas l’interlocuteur en face je dirais, le miroir qui vous aide à avancer. Alors ça n’est pas mon cas, comme je disais là, puisque moi au contraire, j’ai pu : et je dis merci à la vie, je lui dis merci, je chante la vie, je danse la vie… je ne suis qu’amour ! Et finalement, quand beaucoup de gens aujourd’hui me disent « Mais comment fais-tu pour avoir cette humanité ? », et bien je leur réponds très simplement, je leur dis que c’est ce goût de l’amour ce goût donc qui m’a poussé aujourd’hui à entreprendre une construction mécanique, mais demain qui sait ? Peut-être simplement à me mettre au service de la communauté, à faire le don, le don de soi…
4 « J'aime »
C’est un peu comme la loterie. Ils jouent en espérant gagner aussi.
Sauf que la loterie, c’est un jeu, pas un travail. Là ils fournissent bien un travail. C’est comme si dans une entreprise avec 100 salariés y en avait 90 qui ne sont pas payés, 9 qui sont payés à peu près normalement et 1 qui est payé comme 10 pour faire rêver les 90 pigeons et les inciter à continuer à travailler… Ou comme si la Française des Jeux te demandait de travailler 1 semaine pour elle pour pouvoir valider un ticket de loto 
Google paie l’équivalent de ce que lui coûteraient au grand max 60 ETP d’experts en sécurité. Mais largement plus de 60 ETP travaillent ainsi pour lui…
Ils ne sont pas employés par Google mais ils doivent, pour la plupart, avoir un travail ailleurs.
Ils font ça sur leur temps personnel donc oui ils jouent et espèrent trouver LE bug qui rapporte un max.
Personne ne les oblige. C’est leur choix personnel.
Ça ne change rien au fait qu’ils travaillent en plus gratuitement pour Google, qui profites bien.
Oui, c’est toute la « beauté » de l’esclavagisme moderne. Réussir à faire travailler les gens gratuitement et volontairement
On verra si tu applaudiras toujours ça le jour où ton patron décidera de te remplacer par 10 gugus qui travaillent gratos en espérant toucher le pactole
2 « J'aime »
Mais peut-être que ces gens n’ont pas tous envie de travailler pour Google et veulent rester indépendants.
Peut-être que leur niveau n’est pas assez élevé pour travailler chez Google (ceux qui ne trouvent rien ou des bugs mineurs)
Peut-être que les cadors préfèrent gagner des centaines de millers de dollars de chez eux et partir 6 mois en vacances.
D’autres arrondissent peut-être juste leur fin de mois avec ce moyen.
Vous croyez vraiment que vous savez tout et que vous avez raison à coup sûr sans connaître les motivations de ces chasseurs de bugs ?
Une opinion n’est pas la verité
C’est pourtant ce qu’ils font. À partir du moment où tu commences à chercher des failles de sécurité dans un produit Google dans le but de signaler ces failles à Google, de fait, tu travailles pour Google. Sans lien hiérarchique et sans contrat, donc avec toute liberté d’arrêter quand tu veux, mais ils travaillent bien pour Google.
Ai-je parlé de leur motivations ? Non. J’ai juste dit qu’ils travaillent gratuitement et que Google en profite. Ça c’est un fait.
1 « J'aime »
Un fait (prouvé) ou une opinion ?
C’est plutôt une opinion, posée avec aplomb, mais sans argument.
Mon opinion c’est que ces gens travaillent pour eux avant tout puisqu’ils en tirent une compensation financière. Mais c’est une opinion.
NB : j’aurais dû écrire CHEZ google et pas POUR Google.
Non, c’est bien un fait : ils donnent de leur temps à une entreprise. C’est un peu la définition même de « travailler pour une entreprise ». Mais ils le font bénévolement, et sans doute pour certains sans vraiment se rendre compte qu’ils travaillent pour Google, contrairement à un employé ou un prestataire qui se fait payer pour le temps qu’il a donné.
Google par contre se rend bien compte que des gens travaillent pour elle gratuitement…
Non, l’écrasante majorité n’en tire justement pas un centime. C’est là toute l’astuce de ce mode de fonctionnement, comme l’entreprise paye au résultat et pas au temps consacré, elle ne paye qu’une fraction du temps de travail effectué…
C’est le même principe que les livreurs Deliveroo et Uber qui ne sont pas payés pour les temps d’attente, contrairement aux livreurs salariés par exemple, alors qu’ils sont bien à la disposition de l’entreprise pendant ce temps d’attente.
Et moi je dis bien pour Google, pas chez Google. Car oui, c’est sûr, ils ne travaillent pas chez Google. Mais ils travaillent bien pour Google.
2 « J'aime »
Comme montré dans l’article par le fait que certains trouvent plusieurs bugs, et dans différents systèmes, ces gens sont des professionnels. Leur travail officiel c’est trouver ces bugs. Et ils sont rémunérés pour.
Evidemment, un gugusse lambda peut lui aussi trouver un bug et toucher 100000$, et c’est l’histoire dont tout le monde va rêver, qui va faire que plein de gens vont chercher des bugs quelques jours ou semaines et ne rien trouver.
Là où on peut trouver les choses inégales c’est que même les « pros », quand ils cherchent et ne trouvent pas, ce qui est la majorité du temps, ils travaillent… mais ne touchent rien.
C’est le vendeur d’aspirateur « indépendant » qui va vendre un aspirateur tous les 5 jours alors qu’il a frappé à 100 portes. Le fabricant d’aspirateur ne paye que les portes qui rapportent. Tous les échecs sont au frais de vendeur qui n’a pas « su vendre », et il touche un petit quelque chose sur les succès.
Revoir « Les portes de la gloire » (Les portes de la gloire (2001) - IMDb).
2 « J'aime »
Il est évident que nous ne sommes pas d’accord sur le fait que les chasseurs de bugs choisissent de faire ce travail, avec ses avantages et ses inconvénients.
Pour moi ils font le choix de toucher le pactole en découvrant un bug majeur. Certains y arrivent et gagnent très bien leur vie, beaucoup d’autres non.
Je pense que la notion de choix est fondamentale. Ces personnes choisissent cette activité, personne ne les contraints. S’ils n’y trouvaient pas un intérêt, ils ne le feraient pas.
Est-ce que Google en abuse ? Est-ce que Google pourrait embaucher plus ? C’est possible mais on n’en sait rien. Dire le contraire est clairement un avis personnel mais pas un fait prouvé.
Bien sûr qu’ils le choisissent et ne sont pas contraints. Encore heureux. Ça n’en reste pas moins du travail fournit gratuitement à une boîte qui aurait largement les moyens de le payer.
Et le problème, c’est que c’est un modèle économique qui est en train petit à petit, sous diverses formes (l’uberisation des métiers non qualifiés, les bugs bounty pour remplacer les équipes de test dans le logiciel, les « concours » de design, de photo, etc…), de remplacer le travail « classique », parce que les entreprises y trouvent largement leur compte…
Et je trouve donc fort dommage qu’un article titre ainsi sur le fait que chercheur de bug chez Google soit une bonne situation, incitant presque les lecteurs à participer (cf dernier paragraphe), sans rappeler le fait que dans l’écrasante majorité des cas, les mecs bossent gratos, donc qu’en fait la situation n’est pas si bonne que ça… alors que non… Certes, y a un mec qui a touché 600 000 dollars… Mais en moyenne, c’est 4000$ par bug et 17 000$ par personne rémunérée (pour les 700 personnes qui ont effectivement touché quelque chose) et sans doute en moyenne largement moins de 1700$ par personne ayant travaillé dans le cadre de ce programme (bien sûr Google ne communique pas ce chiffre là… mais par contre ils disent que 90% des rapports de bugs reçus dans le cadre du programme ne donnent pas lieu à rémunération, donc il ne me semble pas exagéré de considérer qu’il y a au moins 10 fois plus de personnes non rémunérées que de personnes rémunérées, puisqu’en plus des 90% rapports ne donnant pas suite à rémunération, y a aussi tous les gens qui ont passé du temps sans rien trouver du tout, donc sans même soumettre un rapport…
C’est un peu comme si on nous présentait livreur Deliveroo comme une super situation en mettant en avant les gains réalisés par ceux qui sont dans le top 0.1% des rémunérations sur Deliveroo, mais sans rappeler qu’il y en a une bonne part qui ne touchent même pas un SMIC, et avec tous les risques à leur charge (et encore, maintenant côté Deliveroo ça s’est un peu amélioré, face aux accusations de travail déguisé l’entreprise a fini par consentir à garantir un minimum horaires aux livreurs même s’ils ne font pas de course… ce qui n’est pas encore le cas pour les chasseurs de bugs).
2 « J'aime »
Nous avons bien débattu 
Même si nous ne sommes pas d’accord je reconnais que votre point de vue se défend.
Mais peut-être que le sujet est plus complexe que ça et que Clubic n’est pas le site adapté pour en parler 
Je suppose que 90% des bugs trouvés le sont par des professionnels qui font ça sur leur temps libre ou même par ce que c’est leur job!
Assurément le « geek » qui cherche 12h par jour les bugs dans son garage ramasse des clopinettes.
Quel débat étrange… A lire certaines interventions, on croirait que Google (et autres éditeurs) a trouvé un vivier d’esclaves n’ayant pas d’autre choix que d’accepter travailler pour lui.
Je crois surtout que ces bug hunters ont fait un choix (totalement révocable de leur propre chef) en toute connaissance de cause.
Certains font ça juste par passion, d’autres sans doute dans l’espoir de toucher la mise auprès de différents programmes bounty d’éditeurs, d’autres ponctuellement parce qu’ils sont tombés sur un truc et souhaitent le remonter avec ou sans idée de gain, bref.
Je crois que l’image du geek enfermé dans son garage est un stéréotype éculé.