Vendre des failles aux enchère peut se révéler payant

On le sait, détecter des failles peut à terme devenir une activité très lucrative. Une entreprise vient encore une fois d’en fournir la preuve. Selon le site economictimes, une entreprise suisse a décidé de créer un site de vente aux enchères en ligne : WabiSabiLabi (WSLabi). La plate-forme a pour objectif de permettre à des hackers ou à des ingénieurs de vendre leur découverte aux plus offrants.

Une pratique clairement réprouvée par Roger Halbheer, responsable de la sécurité chez Microsoft. Ce dernier, interrogé par nos collègues de Vnunet, ne trouvait pas l’idée « saine« . Mais WSLabi affirme s’inscrire dans une optique tout à fait différente.

Selon Hermann Zampariolo, responsable du site de vente aux enchères, la création du site se révèle positive puisqu’à terme, elle évitera l’utilisation frauduleuse des failles par des pirates. De plus, les ingénieurs découvrant des solutions dans leur coin pourront les communiquer et les mettre sur la place publique à travers le site.

Pour dévoiler la faiblesse d’un système, il suffit de la mettre en ligne sur la plate-forme d’enchère. A charge pour WSLabi de l’authentifier. Les découvertes peuvent rapporter entre 500$ et 2.000$.

D’autres entreprises appliquent elles aussi le procédé. Microsoft avait promis 250.000$ à quiconque découvrirait l’identité du créateur du virus MyDoom. La fondation Mozilla offre de son côté 500$ et un t-shirt à quiconque lui révèle l’existence d’une faille sur son navigateur.

L’entreprise se présente comme une tentative originale de « régulariser » le hacking. Pour autant, il n’est pas sûr que les pirates ?pur jus’ se laissent tenter.