Il n’y a pas que les hackers qui peuvent récolter de grosses sommes grâce aux failles et aux vulnérabilités. Elles peuvent aussi être rentables pour les personnes plus bienveillantes qui participent à la chasse aux bugs des géants de la tech.
C’est beaucoup et peu à la fois.
S’ils embauchaient ces personnes ils les paieraient sûrement au moins 150k/an.
9 millions ça équivaut donc à 60 personnes.
J imagine qu il y a bien plus de 60 personnes qui bossent gratuitement à chercher des bugs.
Je n’aurais pas dit mieux.
Les GAFAM embauchent bien certaines de ces personnes. Chez Google c’est le Project Zero
Heureusement que ce genre de belles primes existent, ça incite les informaticiens à chercher des bugs et en faire profiter tout le monde, ils reçoivent leur prime et ils sont content.
En mm temps, l’un n’empeche pas l’autre. On imagine bien que google a dejà des equipes ultra dopé en interne qui debug aussi leur code en amont.
Tu m’as grillé
ce serait intéressant de savoir combien coûterait un département google chargé de chercher les failles.
Car un calcul rapide donne : un smic (1000 euros mensuel pour simplifier) ça donne 12.000 euros par an.
Il y a 696 chercheurs récompensés cette année.
696 * 12.000 = 8.3 millions.
Donc, si google avait un service de recherche de bogues (le service QA ?) et qu’il avait embauché ces 696 chercheurs, ceux-ci auraient été payés au smic.
Bravo google ! Il vaut mieux payer au coup par coup, plutôt que de se payer un service QA qui aurait coûté plus cher
Oui, si ces chercheurs ont en moyenne passé l’équivalent d’un an à temps plein sur la faille qu’ils ont trouvée et communiquée à Google.
En réalité, ils ont sans doute passé beaucoup moins de temps que ça, donc touché une rémunération très supérieure au SMIC.
Là encore, c’est un sacré raccourci… Ces primes sont là pour récompenser ceux qui trouvent les failles qui sont passées malgré le travail du service QA, ce qui est inévitable sur des projets aussi gros. Le but n’est en aucun cas de remplacer le service QA, ni même de faire des économies dessus.
Comme souligné plus haut, Google a d’ailleurs même un service (Project Zero) dédié à la recherche de failles, aussi bien dans ses produits que dans ceux des autres (parce qu’un œil extérieur, ça peut voir des choses qu’on n’arrive pas à voir en interne…), en plus des services QA liés à ses différents produits. Et c’est loin d’être le seul, toutes les grosses boîtes de ce genre ont un labo R&D dédié à la sécurité.
Oui oui, je suis bien d accord qu’ils ont aussi des armes de testeur/hacker en interne.
Ce que je voulais dire c’est que les sommes versées paraissent importantes mais que c’est finalement pas cher payé.
40k pour une faille importantes, c’est pas un mec dans son garage qui trouve ça. C’est plutôt une équipe 4 chercheurs qui gagnent déjà bien leur vie.
Et ça pour des dizaines d autres qui ont pas encore trouvé et bossent donc gratos.
@kast_or je vois ce que tu veux dire mais en vrai. C pas comme sa qu’il faut raisonner. Le business plan de google c’est mettre à l épreuve leur code par tous. Hacker brillant ou chanceux tout le monde peux y jouer. Et les récompenses sont la pour motiver les plus doué à chercher et surtout leur remonter les pepites bugs les plus graves. C un peu c qui marque a linux. On est dans de l open source aussi mais le code est a mon sens nettement plus éprouvé. Google ne récompense pas les relecteurs de code. Il récompense les trouvailles selon leurs gravités. Et a ce jeu là il y a de plus en plus d argent qui tombent et en bonus coupe l herbe sous le pied des black hackers
« Il n’y a pas que les hackers qui peuvent récolter de grosses sommes grâce aux failles et aux vulnérabilités. »
Bien sûr que si !
C’est pas mémé Michu qui va trouver des failles dans le dernier android à la mode hein !
Qu’il soit white, grey ou dark, seul un hacker peut hacker sans sa mémé.