8.000 dollars pour découvrir un bug dans Vista et IE7

Les laboratoires Idefense de Verisign viennent de lancer un concours pour
découvrir des bugs ans le navigateur et l’OS de Microsoft, à la clé une
récompense comprise entre 8.000 et 12.000 dollars

La chasse aux bugs est ouverte. Microsoft Windows et Internet Explorer dominent le marché. L’arrivée de IE7 et de Vista soulève la question des vulnérabilités dans ces nouveaux produits. Du coup, les professionnels de la sécurité IT viennent de lancer un concours.

Conséquence, iDefense (Verisign) annonce sur son site qu’il versera la somme de 8.000 dollars pour toutes les vulnérabilités découvertes permettant à un attaquant d’exploiter un ordinateur à distance et d’exécuter du code arbitraire. Les six premiers à découvrir un bug empocheront la somme.

Sur son URL, iDefense précise que le choix du vainqueur revient à ses équipes. A noter également qu’une prime de 2.000 à 4.000 dollars sera offerte si vous rédigez un petit tutoriel d’exploitation de la faille.

Les technologies couvertes sont :

-Microsoft Internet Explorer 7.0 (version finale)

-Microsoft Windows Vista (version finale)

Les vulnérabilités doivent répondre à certains critères :

-La faille ne doit recourir à aucune installation d’un produit tiers

-La faille doit être utilisable à distance

-Elle doit permettre l’exécution d’un code à distance

-L’utilisateur ne doit pas intervenir

-La faille doit être bien entendu impérativement nouvelle

-La faille ne doit concerner que Vista ou Internet Explorer 7

Ce genre d’initiative n’est généralement pas du goût des éditeurs de logiciels. Microsoft, qui refuse de rémunérer les découvreurs de failles a d’ailleurs fait part de son scepticisme. Certains professionnels de la sécurité dénoncent par ailleurs cette monétisation des découvertes. D’autres estiment que cette « émulation » permet aux éditeurs d’anticiper les vulnérabilités…