La prime à la faille Windows, critiquée par Microsoft
Solution vicieuse : interdire les failles critiques
Hier, nous annoncions l’initiative du Quarterly Hacking Challenge, programme lancé par iDefense, filiale de Verisign. L’objet ? Rémunérer d’une jolie liasse de billets, 10 000 dollars, quiconque aura trouvé une vulnérabilité dans Windows. Seules conditions : être inscrit sur le site, et que la faille paraisse dans le Microsoft Security Bulletin avec un rang critique.
Microsoft vient de réagir sur cette question sur le journal eWeek. C’était à prévoir : Redmond n’apprécie guère ce concours à la saveur sulfureuse : « Nous ne croyons pas qu’offrir une telle compensation pour des informations sur les vulnérabilités, soit la meilleure voie pour les spécialistes d’aider les consommateurs. » L’éditeur insiste, préférant de loin être contacté directement par les découvreurs de failles : « Microsoft a la conviction que le full disclosure responsable, qui implique de s’assurer qu’une mise à jour est disponible chez l’éditeur, le jour même où la vulnérabilité est exposée aux yeux de tous, est le meilleur moyen de protéger les utilisateurs. »
Michael Sutton, directeur d’iDefense Labs, tente de justifier cette opération. Selon lui, il est étrange que Microsoft offre 250 000 dollars de prime pour l’aide à la capture d’un créateur de Virus mais critique le Quarterly Hacking Challenge. Référence est ici faite à la prime qu’avait promise et versée Microsoft pour l’arrestation de l’auteur de Sasser. Or, soutient Sutton, le programme permet justement d’arrêter la propagation d’un virus exploitant une faille dangereuse, rendant illogiques ces critiques. En 2005, iDefense a été crédité pour la découverte de trois failles critiques, s’assurant là encore une publicité mondiale manifeste pour une somme finalement modique.
Pur les maniaques des concours, on rappellera que Microsoft organise lui aussi sous forme de concours une chasse au trou, jusqu’au 15 juillet 2006 (voir notre actualité). Si l’on est choisi parmi les réponses exactes, on peut gagner l’une des trois consoles de jeux XBox 360 en jeu. Les failles ne concernent nullement les produits maison, mais des bouts de codes diffusés sur le MSDN (Microsoft Developer Network).
Microsoft vient de réagir sur cette question sur le journal eWeek. C’était à prévoir : Redmond n’apprécie guère ce concours à la saveur sulfureuse : « Nous ne croyons pas qu’offrir une telle compensation pour des informations sur les vulnérabilités, soit la meilleure voie pour les spécialistes d’aider les consommateurs. » L’éditeur insiste, préférant de loin être contacté directement par les découvreurs de failles : « Microsoft a la conviction que le full disclosure responsable, qui implique de s’assurer qu’une mise à jour est disponible chez l’éditeur, le jour même où la vulnérabilité est exposée aux yeux de tous, est le meilleur moyen de protéger les utilisateurs. »
Michael Sutton, directeur d’iDefense Labs, tente de justifier cette opération. Selon lui, il est étrange que Microsoft offre 250 000 dollars de prime pour l’aide à la capture d’un créateur de Virus mais critique le Quarterly Hacking Challenge. Référence est ici faite à la prime qu’avait promise et versée Microsoft pour l’arrestation de l’auteur de Sasser. Or, soutient Sutton, le programme permet justement d’arrêter la propagation d’un virus exploitant une faille dangereuse, rendant illogiques ces critiques. En 2005, iDefense a été crédité pour la découverte de trois failles critiques, s’assurant là encore une publicité mondiale manifeste pour une somme finalement modique.
Pur les maniaques des concours, on rappellera que Microsoft organise lui aussi sous forme de concours une chasse au trou, jusqu’au 15 juillet 2006 (voir notre actualité). Si l’on est choisi parmi les réponses exactes, on peut gagner l’une des trois consoles de jeux XBox 360 en jeu. Les failles ne concernent nullement les produits maison, mais des bouts de codes diffusés sur le MSDN (Microsoft Developer Network).
Source :
Branchez-Vous
Marc Rees
le 21 février 2006 à 09:31
(14 355
lectures)
Actualités et brèves relatives
- 20 / 02 / 2006 : 10 000 dollars par faille critique découverte dans Windows
- 11 / 01 / 2006 : Les mises à jour mensuelles Microsoft sont là
- 02 / 01 / 2006 : La faille du WMF mêlée à un ver sous MSN
- 19 / 10 / 2005 : Un bug trouvé chez Microsoft, une xBox 360 à gagner
- 26 / 07 / 2005 : 3com paye la découverte des trous de sécurité
- 15 / 07 / 2005 : Verisign achète la société de sécurité iDefense
- 30 / 03 / 2005 : Michael gagne 2500$ grâce à la prime au trou Mozilla
- 04 / 08 / 2004 : Mozilla : 500$ et un T-Shirt si vous découvrez une faille
