Vidéo: Etats Unis : nouveau billet de 100 dollars pour faire échec à la contrefaçon - economy (Novembre 2024)
Beaucoup de grands éditeurs de logiciels paieront une "prime au bogue" à la première personne qui signalera une faille de sécurité particulière. Les montants des primes varient, mais ils peuvent aller de quelques dollars à des milliers de dollars. Le programme de primes d’atténuation des contournements de Microsoft fonctionne à un niveau nettement plus élevé. Pour pouvoir réclamer la récompense de 100 000 dollars, une recherche doit présenter une toute nouvelle technique d’exploitation efficace par rapport à la toute dernière version de Windows. Ce type de découverte est assez rare et pourtant, trois mois seulement après l'annonce de ce programme, Microsoft a décerné aujourd'hui son premier prix de 100 000 dollars.
Une histoire de coopération
J'ai parlé à Katie Moussouris, responsable principale de la stratégie de sécurité pour le groupe Microsoft Trustworthy Computing, à propos de ce prix et de la collaboration de Microsoft avec des chercheurs et des pirates informatiques. Moussouris a rejoint le groupe il y a environ six ans et demi en tant que stratège en matière de sécurité, mais "il y avait une longue histoire de relations de Microsoft avec des chercheurs et des pirates informatiques, même avant moi."
Moussouris a donné comme exemple les chercheurs qui ont découvert la vulnérabilité qui alimentait le ver Blaster. "Les hauts responsables de Microsoft leur ont rendu visite en Pologne", a-t-elle déclaré. "Ils ont été recrutés… Ils travaillent toujours avec nous depuis une décennie."
Elle a souligné que les conférences régulières BlueHat de Microsoft "amènent les pirates informatiques à rencontrer notre personnel, à éduquer et à divertir, et à rendre nos produits plus sûrs". En 2012, le concours BlueHat Prize de Microsoft a octroyé plus de 250 000 USD à trois chercheurs universitaires qui ont proposé des innovations inédites.
Primes actuelles
"Il y a trois mois, nous avons lancé trois nouvelles primes", a déclaré Moussouris, "dont deux sont toujours actives". Au cours des 30 premiers jours de la prévisualisation d’Internet Explorer 11, Microsoft offrait des primes de bogues ordinaires. "Beaucoup de chercheurs se tenaient, ne signalant pas de bugs, attendant la publication finale", a noté Moussouris. "Nous avons décidé de les encourager à soumettre ces rapports." À la fin des 30 jours de ce programme, six chercheurs avaient réclamé une prime de bug dépassant 28 000 $.
La prime de contournement de l'atténuation récompense spécifiquement les chercheurs qui découvrent une toute nouvelle méthode d'exploitation. "Si nous n'avions pas déjà entendu parler de la programmation axée sur le retour", a déclaré Moussouris, "cette découverte aurait rapporté 100 000 $". Il ne s’agit pas uniquement de recherches pie dans le ciel. Un chercheur qui souhaite réclamer cette prime doit fournir un programme de validation de principe fonctionnel démontrant la technique d'exploitation.
"Dans le passé, une organisation pouvait en apprendre davantage sur ces attaques", a souligné Moussouris. "Premièrement, nos chercheurs internes proposeraient quelque chose. Deuxièmement, cela apparaîtrait dans un concours d'exploitation comme Pwn2Own. Troisièmement, et pire, cela se traduirait par une attaque active." Elle a expliqué que le programme de primes actuel est disponible toute l'année, pas seulement lors d'une compétition. "Si vous êtes un chercheur qui veut jouer gentil, qui veut protéger les gens, il y a une prime disponible maintenant . Vous n'avez pas à attendre."
Et le gagnant est...
Moussouris estime que les découvertes assez importantes pour mériter une prime ne se produisent que tous les trois ans environ. Son équipe a été surprise et heureuse de trouver un récipiendaire digne de ce nom trois mois seulement après le début du programme de primes. James Forshaw, responsable de la recherche sur la vulnérabilité pour la société Context Information Security basée au Royaume-Uni, est le premier à recevoir le programme Prime for Bypass Bounty.
Dans un courrier électronique adressé à SecurityWatch, Forshaw déclarait: "Le programme de primes d’atténuation des primes de Microsoft est très important pour aider à déplacer les programmes de primes de l’attaque vers la défense. Cela incite les chercheurs comme moi à consacrer du temps et des efforts à la sécurité en profondeur aspirant au nombre total de vulnérabilités ". Forshaw a poursuivi: "Pour trouver ma place gagnante, j'ai étudié les mesures d'atténuation disponibles aujourd'hui et, après un brainstorming, j'ai identifié quelques angles potentiels. Tous n'étaient pas viables, mais après une certaine persistance, j'ai finalement réussi."
Quant à ce que Forshaw a découvert, cela ne sera pas révélé tout de suite. Le but est de donner à Microsoft le temps de configurer ses défenses avant que les méchants ne fassent la même découverte, après tout!
