Comment gagner 8000 dollars avec les failles de Vista et Internet Explorer 7 - 12 janvier 2007 - 12:32 (Par Etienne Jean de la Perle)

Comment gagner 8000 dollars avec les failles de Vista et Internet Explorer 7

iDefense vient de lancer le challenge de la faille et propose 8000 dollars à tous les internautes qui trouveront une faille dans Vista ou dans Internet Explorer 7 (IE7). VeriSign, par l'intermédiaire de sa branche iDefense Labs, vient de lancer un programme qui va certainement intéresser beaucoup de monde mais aussi attiser les polémiques de quoi attiser les polémiques. Le principe est simple : l'internaute communique à iDefense les failles qu'il a découvert dans Vista et Internet Explorer 7 avant d'empocher une somme de 8000 dollars, de quoi créer des motivations chez les apprentis pirates.

Mais ce n'est pas tout, les 8000 dollars seront acquis si vous trouvez une faille de sécurité dans Vista ou Internet Explorer 7, mais en plus, iDefense Labs rajoutera entre 2000 et 4000 dollars pour une méthode d'exploitation de cette faille rédigée par vos soins, la somme variera en fonction de plusieurs critères comme la lisibilité de votre explication, sa qualité ou encore la documentation qui l'accompagne.

Bien entendu, les 8000 dollars ne sont pas distribués à n'importe qui et n'importe comment. La précision la plus importante est sans doute que cette somme ne sera attribuée qu'aux six premières personnes à se manifester. Ensuite, il y a faille et faille. Les failles demandées doivent répondre aux critères définis par Microsoft comme étant critiques : exploitables à distance et utilisées pour exécuter un code arbitraire sans intervention de l'utilisateur. Les failles critiques, lorsqu'elles sont découvertes en avance par des pirates, permettent souvent de créer des vers.

Les conditions pour empocher les 8000 dollars de iDefense : « La faille doit être utilisable à distance. Elle doit permettre l'exécution d'un code à distance. L'utilisateur ne doit pas intervenir. La faille doit être bien entendu impérativement nouvelle. La faille ne doit concerner que Vista ou Internet Explorer 7 : aucune autre version de Windows ou d'Internet Explorer n'est prise en compte. Tous les patchs et correctifs existant pour Vista et Internet Explorer 7 doivent impérativement être installés. Vista et Internet Explorer 7 doivent être en versions finales, les bêta et RC n'étant pas acceptées. La faille ne doit recourir à aucune installation d'un produit tiers

Ce modèle de recherche de failles repose donc principalement sur l'appât du gain. Ensuite, les révélations de Trend Micro sur des enchères secrètes menées sur des failles de Vista à 50.000 dollars avaient clairement montré qu'il existait de puissants réseaux véhiculant les informations relatives aux failles de sécurité.

Du côté de chez Microsoft, on est difficilement persuadé du bien-fondé de la technique employée par VeriSign. Un porte-parole de la firme a indiqué qu'il ne s'agissait pas de la meilleure manière pour des chercheurs en sécurité de protéger les utilisateurs. L'éditeur pense que la divulgation des informations après que la mise à jour ait été publiée est préférable, afin d'être sûr que personne n'est été « blessé » pendant la bataille.

Et 8000 dollars, ça pourrait peut-être créer des vocations chez les apprentis pirates en herbe ? (Source : PC Inpact)

Retrouvez toutes les actualités de l'Internet, de l'informatique, des sciences du jour