C'est avec une prudence de violette qu'Apple a lancé, en 2016, un programme de chasse aux bugs. D'abord réservé à des chercheurs en sécurité triés sur le volet, ce bug bounty a ouvert ses portes un peu plus largement fin 2019, en élargissant les plateformes concernées et en proposant même un iPhone SRD débarrassé des mécanismes de protection habituels d'iOS.
Malheureusement, les sommes proposées par Apple ne sont pas suffisantes pour attirer des chercheurs préférant vendre leurs trouvailles au plus offrant, ce qui enrichit des entreprises comme NSO Group qui peuvent ainsi commercialiser des logiciels espion comme Pegasus à des États voyous. Quand ce n'est pas l'inertie interne au constructeur qui finit par dégoûter les plus motivés :
Un (mauvais) retour d'expérience sur le programme de primes de sécurité d'Apple
Bref, Apple aurait beaucoup à apprendre de Google dans ce domaine. Le moteur de recherche a ainsi communiqué quelques chiffres concernant son propre programme de recherche de vulnérabilités, qui récompense les chasseurs de bugs et d'autres failles de sécurité. En un peu plus de dix ans d'existence, il a permis de rémunérer plus de 11 000 dysfonctionnements débusqués par 2 022 chercheurs dans 84 pays différents. Au total, Google explique avoir distribué plus de 29 millions de dollars dans le cadre de ce programme.
Le moteur de recherche en profite aussi pour annoncer son nouveau site, baptisé Bug Hunters, qui devrait simplifier les démarches en rapprochant les différentes plateformes (Google, Android, Chrome, Play etc.). En plus d'une refonte graphique, un processus de gamification va être instauré avec des médailles à gagner ainsi qu'un tableau de scores par pays. Google a embauché une vingtaine de chercheurs de bugs qui ont participé au programme.
