iDefense, filiale de VeriSign, offre 10.000 $ à toute personne découvrant et lui rapportant l’information d’une faille non connue de Windows, que Microsoft devra ensuite qualifier de « critique ».
Par son « Quaterly Hacking Challenge », iDefense entend bien donner un peu d’intérêt à son programme de contribution aux vulnérabilités (VCP – Vulnerability Contributor Program) lancé en 2005. Par cette initiative assez controversée, Adam Greene, directeur assistant d’iDefense, confie que
« nous voulons encourager les chercheurs à s’intéresser à des choses importantes pour leurs clients. Et le choix de s’intéresser aux failles dans Windows était évident puisqu’un grand nombre de nos clients l’utilisent ».
Les règles du challenge sont simples. La date limite est fixée au 31 mars 2006. Les détails concernant les vulnérabilités doivent être exclusivement envoyés à iDefense avant cette échéance. Si Microsoft classe ensuite la faille sur son échelle de valeur – qui rappelons-le comporte quatre niveaux – comme critique (niveau le plus élevé de cette échelle), iDefense versera 10.000$ à l’heureux découvreur. L’entreprise précise qu’il n’y a pas de limite au nombre de failles découvertes. Ainsi, si cinq personnes découvrent cinq failles différentes, et pour autant qu’elles soient qualifiées de critiques, ils recevront chacun 10.000$. Il ne s’agit donc pas d’une cagnotte à partager.
Chaque trimestre, l’objet du concours changera. « Il est important de le changer pour que les gens continuent de s’y intéresser », explique Adam Greene. Mais « nous n’avons pas encore décidé du but à atteindre pour le prochain trimestre », s’empresse-t-il d’ajouter, « mais plutôt que de s’attacher à un vendeur particulier, nous envisageons de cibler un certain type de vulnérabilités ou une certaine classe de produits. Peut-être les navigateurs Web et les clients de courrier électronique ».
Pour rappel, d’autres entreprises agissent de la même manière en rémunérant les failles découvertes. C’est le cas par exemple de la fondation Mozilla qui paie 500$ le bug découvert, ou encore de TippingPoint avec son programme Zero Day Initiative.
Cette page peut contenir des liens affiliés. Si vous achetez un produit depuis ces liens, le site marchand nous reversera une commission sans que cela n'impacte en rien le montant de votre achat. En savoir plus.
Signaler un problème avec ce contenu
Commentaires
Supprimer
Cette action est irreversible, confirmez la suppression du commentaire ?
