Beau Travail, Zéro Récompense : La Prime d’un Bug Cloud Critique chez Google Refusée

La réponse contradictoire de Google

L'histoire de la réponse de Google est une série de contradictions flagrantes.

Phase 1 — « Beau travail ! » O'Leary a signalé le bug à Google le 8 mars 2026 . Le 27 mars, un ingénieur sécurité de Google a accepté le rapport et lui a dit « Beau travail ! » . L'ingénieur a déclaré avoir soumis le bug à l'équipe produit concernée et a assuré à O'Leary qu'ils travailleraient avec Google Cloud pour corriger la faille, écrivant : « Nous travaillerons avec l'équipe produit pour garantir la résolution de ce problème. Nous vous tiendrons informé dès que le problème sera corrigé » . Google a attribué au bug la priorité P1 (la plus élevée) et la sévérité S1 (critique — affecte un grand pourcentage d'utilisateurs et peut perturber les fonctions organisationnelles de base) .

Phase 2 — « Fonctionnement normal. » Le 7 avril — 11 jours plus tard — O'Leary a reçu un message d'un robot de sécurité de Google annulant la décision . Le panel du Cloud Vulnerability Reward Program a conclu que « l'impact sécuritaire de ce problème ne répond pas aux critères pour être éligible à une récompense » et que le logiciel « fonctionne comme prévu » . Google a refusé toute prime.

La contradiction : Selon le rapport de The Register du 18 juin, le bug tracker interne de Google listait toujours ConfigConfusion en P1/S1 avec le statut « en cours (accepté) » — ce qui contredit la position publique selon laquelle aucune vulnérabilité n'existe .

Un statut toujours non résolu

À la mi-juin 2026 — plus de trois mois après le rapport initial — la vulnérabilité reste non corrigée et non résolue . O'Leary a depuis publié un article de blog de recherche avec tous les détails techniques sur olearysec.com .

Les changements du VRP de Google en 2026 — Contexte plus large

Début mai 2026, Google a remanié ses programmes de récompense pour les vulnérabilités (VRP) de Chrome et Android, citant explicitement l'essor des outils d'IA dans la découverte de vulnérabilités .

Principaux changements :

• Les primes Chrome ont chuté dans la plupart des catégories. La raison avancée par Google est que les outils d'IA peuvent facilement produire de gros volumes de soumissions de moindre qualité, et elle a donc restructuré les récompenses vers des classes de bugs à plus fort impact et plus difficiles à automatiser .
• Les meilleures primes Android ont augmenté — une compromission complète zero-click du Titan M2 avec persistance est maintenant récompensée jusqu'à 1,5 million de dollars .
• Les publications de CVE pour Chrome ont quadruplé sur un an (de 52 début mai 2025 à 252 début mai 2026), ce que Google a cité comme preuve de l'afflux de soumissions générées par l'IA .

Les critiques soulignent un contraste frappant : Google réduit les primes Chrome à cause du « bruit de l'IA » tout en refusant un bug d'infrastructure cloud CVSS 10.0, soigneusement signalé par un chercheur humain, sous prétexte qu'il s'agit d'un « fonctionnement normal » — une décision que beaucoup dans la communauté de la sécurité jugent myope et préjudiciable à la confiance des chercheurs .