Le géant américain de la tech a lancé un nouveau programme mondial de récompenses, destiné à repérer les failles de sécurité dans ses produits disposant de fonctions IA, comme Gemini, Google Search ou les outils de la suite Workspace.
Google renforce sa vigilance autour de ses produits dopés à l’intelligence artificielle. Le géant de la tech a lancé, lundi 6 octobre, un nouveau programme mondial de récompenses destiné à repérer les failles de sécurité dans ses produits disposant de fonctions IA, comme Gemini, Google Search ou les outils de la suite Workspace. Baptisé «AI Vulnerability Reward Program», ce dispositif s’inscrit dans la lignée des «bug bounties», ces programmes qui rémunèrent les chercheurs en cybersécurité pour la découverte de vulnérabilités. À la clé, des rémunérations alléchantes, pouvant aller jusqu’à 30.000 dollars (plus de 25.000 euros) pour les signalements les plus graves et les plus novateurs.
«Nous avons entendu que le périmètre des récompenses liées à l’IA n’était pas toujours clair. Pour répondre à ces préoccupations, nous avons précisé quelles catégories de problèmes sont désormais couvertes», expliquent dans un communiqué Jason Parsons et Zak Bennett, responsables de la sécurité chez Google. Le géant californien expérimentait déjà, depuis octobre 2023, l’intégration de failles d’IA dans son programme de chasse aux abus. Dans ce cadre, il avait déjà distribué pas moins de 430.000 dollars (370.000 euros) à des chercheurs. Mais cette fois, Google crée un cadre distinct, doté de ses propres règles, de ses produits éligibles et de ses grilles de rémunération.
Les problèmes liés au contenu généré par l’IA exclus
Parmi les vulnérabilités les mieux payées figurent les «rogue actions» – ces attaques qui permettent de modifier l’état du compte ou les données d’une victime – ou encore les fuites d’informations sensibles. Ces failles peuvent, par exemple, amener un assistant vocal à déverrouiller une porte ou exfiltrer des courriels sans consentement. Les signalements seront classés selon leur impact et le type de produit concerné : jusqu’à 20.000 dollars (17.000 euros) pour une faille critique dans un service phare comme Google Search ou Gemini, avec des bonus de qualité pouvant porter la récompense à 30.000 dollars.
En revanche, les problèmes liés au contenu généré par l’IA, tels que les propos haineux, sont exclus du dispositif. «Nous ne pensons pas qu’un programme de récompense soit le bon format pour traiter ces questions. Leur résolution exige des efforts pluridisciplinaires et un suivi à long terme», estime Google, invitant les utilisateurs à signaler ces dérives via les outils intégrés à ses produits. Alors que l’IA se trouve au cœur de la compétition à laquelle se livrent les géants américains de la tech, Google espère mobiliser les chercheurs du monde entier pour roder une technologie devenue centrale dans son écosystème. Avis aux apprentis hackers «éthiques».