IE 11 : Microsoft paye 28 000 dollars aux chasseurs de faille

Microsoft a payé plus de 28 000 dollars de récompenses aux chercheurs ayant découvert des failles dans Internet  Explorer 11. Mené dans le courant de l’été, sur une durée d’un mois, ce programme est le premier de ce type mis en place par le premier éditeur mondial. La somme reste toutefois modeste, elle correspond à celle déboursée par Google pour la version 30 de son navigateur Chrome et à 10 % de ce que le groupe de Mountain View, grand habitué de ces programmes, a accordé aux chercheurs en sécurité depuis le début de l’année.

IE 11 doit sortir le 17 octobre, dans la foulée de Windows 8.1.

Au total, Microsoft a récompensé 6 chercheurs en sécurité pour la découverte de 15 bogues. Parmi les gagnants, on retrouve quelques stars, comme James Forshaw et Peter Vreugdenhil, deux anciens gagnants du concours Pwn2Own. Chacun remporte environ 10 000 dollars.

Le marché noir paye mieux

Malgré tout, les sommes mises sur la table par Microsoft restent faibles. Cette réticence des éditeurs à payer les découvertes des chercheurs en sécurité a abouti à la naissance d’un marché noir florissant de la revente de failles de sécurité. Les failles et les exploits zero day permettant de les exploiter se négocient en effet à bon prix auprès d’organisations cyber-criminelles. Mais également auprès des gouvernements, qui les exploitent à des fins d’espionnage.

En France, la société de Montpellier Vupen Security s’est notamment spécialisée sur ce créneau, vendant entre autre les résultats de ses recherches à la NSA américaine. Comme nous l’expliquions récemment, Chaouki Bekrar, le Pdg de Vupen, ne se cache pas d’avoir réorienté l’activité de son entreprise vers ce type de prestations faute d’avoir pu amortir les coûts de ses recherches auprès des grands éditeurs.

Crédit photo : © drx Fotolia.com

En complément :

Vente de failles et d’exploits : le Français Vupen a bien fourni la NSA
Prism : le révélateur du lucratif (et très discret) business de la vente de failles