Un nouveau concours propose de rémunérer les plus habiles chasseurs de failles de sécurité. Celui-ci est lancé par la société iDefense, propriété de l'opérateur Verisign, et concerne Windows Vista et Internet Explorer 7. Huit mille dollars seront reversés à celui qui parviendra à démontrer l'existence d'une vulnérabilité permettant à un attaquant de prendre le contrôle d'une machine équipée de l'un de ces deux logiciels.

Seules les six premières découvertes seront récompensées, indique iDefense, qui propose une rallonge allant de deux à quatre mille dollars à celui qui saura de surcroit fournir une portion de code permettant d'exploiter la faille en question.

Certaines sociétés spécialisées dans la sécurité informatique sont en effet prêtes à rémunérer ceux qui leur transmettront les preuves permettant d'établir l'existence d'une faille de sécurité. En créant une émulation motivée par l'appât du gain, elles espèrent prendre une longueur d'avance sur leurs concurrents. Certains internautes se sont d'ailleurs fait une spécialité de la recherche de vulnérabilités et mettent aux enchères, sur des réseaux « underground » leurs découvertes.

De son côté, Microsoft travaille étroitement avec les éditeurs en sécurité informatique, mais refuse de récompenser les chasseurs de faille et estime cette méthode n'est pas « le meilleur moyen de protéger les utilisateurs », puisqu'elle incite à la commercialisation des failles mises au jour. Le détail du réglement mis en place par iDefense pourra être consulté sur cette page (anglais). Avis aux amateurs, qui auront jusqu'au 31 mars prochain.

source: www.clubic.com

Vu la "petite somme" offerte, Microsoft doit se douter que leurs logiciels ont des failles...

...

[ar] [/ar]

Eh m****

iDefense propose 8000 dollars par faille de Vista ou IE7

VeriSign, par l’intermédiaire de sa branche iDefense Labs, vient de lancer un programme qui aurait de quoi attiser les polémiques si seulement les résultats risquaient de ne pas être aussi concrets. Le principe est assez simple : proposer des failles découvertes dans Vista et Internet Explorer 7 puis empocher une somme d’argent.

La somme dont il est question ? 8000 dollars, rien que ça. Et ce n’est pas fini : les 8000 dollars seront acquis si vous trouvez une faille de sécurité dans Vista ou Internet Explorer 7, mais iDefense Labs rajoutera entre 2000 et 4000 dollars pour une méthode d’exploitation rédigée par vos soins. Cette somme fluctuante dépendra de plusieurs critères comme la lisibilité de votre explication, sa qualité ou encore la documentation l’accompagnant.

Bien entendu, les 8000 dollars ne sont pas distribués à n’importe qui et n’importe comment. La précision la plus importante est sans doute que cette somme ne sera attribuée qu’aux six premières personnes à se manifester. Ensuite, il y a faille et faille. Les failles demandées doivent répondre aux critères définis par Microsoft comme étant critiques : exploitables à distance et utilisées pour exécuter un code arbitraire sans intervention de l’utilisateur. De telles failles, lorsqu’elles sont découvertes en avance, permettant souvent de créer des vers.

Voici la liste complète des conditions :

• La faille doit être utilisable à distance
  
• Elle doit permettre l’exécution d’un code à distance
  
• L’utilisateur ne doit pas intervenir
  
• La faille doit être bien entendu impérativement nouvelle
  
• La faille ne doit concerner que Vista ou Internet Explorer 7 : aucune autre version de Windows ou d’Internet Explorer n’est prise en compte
  
• Tous les patchs et correctifs existant pour Vista et Internet Explorer 7 doivent impérativement être installés
  
• Vista et Internet Explorer 7 doivent être en versions finales, les bêta et RC n'étant pas acceptées
  
• La faille ne doit recourir à aucune installation d'un produit tiers

Pourquoi un tel modèle de recherche de failles ? D’abord parce que l’appât du gain est un puissant moteur de motivation. Ensuite, les révélations de Trend Micro sur des enchères secrètes menées sur des failles de Vista à 50 000 dollars avaient clairement montré qu’il existait de puissants réseaux véhiculant les informations relatives aux failles de sécurité. Quand on parle de logiciels exerçant des parts de marché d’environ 90%, en particulier pour Windows, le pouvoir à gagner grâce aux parcs de machines zombies est potentiellement énorme.

Du côté de chez Microsoft, on est difficilement persuadé du bien-fondé de la technique employée par VeriSign. Un porte-parole de la firme a indiqué qu’il ne s’agissait pas de la meilleure manière pour des chercheurs en sécurité de protéger les utilisateurs. L’éditeur pense que la divulgation des informations après que la mise à jour ait été publiée est bien préférable, afin d’être sûr que personne n’est « blessé » durant la bagarre.

Nous verrons dans les semaines à venir si l’initiative de VeriSign porte ses fruits et à quel rythme les failles seront proposées. ll existera nécessairement de telles failles car aucun système n’est parfait, et Vista n’a pas encore affronté le public

source: www.pcinpact.com

et bah dit donc

Ils ont oublié ...

• Le hacker doit pouvoir faire un café avec votre imprimante