Chercher des failles ça peut rapporter gros!

Le site Internet de la société spécialisée dans la sécurité informatique iDefense lance un curieux concours pour « pirates chasseurs de failles », contre rémunération, et ce dernier ne devrait pas être du goût des éditeurs de logiciels propriétaires

10.000 dollars, c’est la somme qui promet la société iDefense aux informaticiens qui seront capables de trouver des failles dans les systèmes d’exploitation de la firme de Redmond.

Le VPC pour « Vulnerability Contributor Program » propose une rémunération aux pirates qui fourniront à iDefense des informations sur des vulnérabilités qui n’ont pas été découvertes. Pour l’instant, le site revendique pas moins de 250 contributeurs actifs. Le paiement de cette somme dépend néanmoins de plusieurs critères qui laissent peu de place à l’improvisation: – du type d’information partagée – du niveau de détails fournis – du niveau de dangerosité de la faille découverte – du système touché par cette faille – de la vérification par iDefense de la véracité de la faille – du nombre d’utilisateurs touchés par le problème – et de la valeur potentielle de l’information pour les clients d’iDefense Ce système de rémunération est considéré par de nombreux éditeurs comme scandaleux, car pour eux ce n’est pas le meilleur moyen de procédé à la sécurisation des usagers. Cette pratique est pour le moins contestable puisqu’en plus de s’aventurer dans le pré carré des spécialistes sécurité de Microsoft, iDefense se réserve le droit de négocier ces failles avec les revendeurs.