Windows 8.1 et IE11 : Microsoft récompense les exploits des hackers

Le par  |  8 commentaire(s)
Microsoft-logo

Microsoft va débourser des billets verts pour des chercheurs en sécurité qui trouvent et soumettent des trous dans les défenses de sécurité de Windows 8.1. Également pour des failles dans Internet Explorer 11.

Microsoft n'a jamais été fan des programmes de récompenses pour la découverte et le rapport de bugs de sécurité. Les fameux Bug Bounty Programs qu'affectionnent par contre Google, Facebook ou encore Mozilla.

BlueHat_logoLa firme de Redmond a déjà néanmoins fait quelques entailles à sa politique en la matière avec le BlueHat Prize. Un prix de 200 000 dollars est mis en jeu dans un concours pour la technique la plus novatrice permettant d'éviter l'exploitation de failles.

Désormais, Microsoft embrasse un peu plus l'esprit des Bug Bounty Programs tout en y apportant sa touche personnelle. Un appel est lancé aux " amis, hackers et chercheurs " qui veulent améliorer la sécurité de produits de Microsoft et gagner de l'argent.

Ce sont trois programmes qui vont être lancés à partir du 26 juin prochain. Une date qui n'est pas anodine puisqu'elle correspond à la publication de la préversion de Windows 8.1.

Microsoft déboursera jusqu'à 100 000 dollars pour des techniques d'exploitation innovantes permettant de passer outre les protections de Windows 8.1. Un rapport détaillé devra être fourni ainsi qu'un exploit fonctionnel dans le contexte d'une exploitation à distance.

La somme de 50 000 dollars pourra être ajoutée si le participant développe un moyen de défense contre le code qu'il a lui-même écrit.

Microsoft va en outre débourser jusqu'à 11 000 dollars pour des failles qui affectent la préversion d'Internet Explorer 11 sur le nouvel OS. Ce troisième programme prendra fin le 26 juillet. Aucune date d'arrêt n'a par contre été fixée pour Windows 8.1.

De plus amples détails sont donnés dans ce billet de blog. C'est donc la première fois que Microsoft va payer directement des chercheurs en sécurité en échange du rapport de certains types de vulnérabilités et de techniques d'exploitation.

" Nous faisons ce changement afin d'en apprendre davantage sur ces problèmes de sécurité plus tôt et pour augmenter la relation gagnant-gagnant entre les clients de Microsoft et la communauté des chercheurs en sécurité "

, écrit Katie Moussouris, Senior Security Strategist chez Microsoft.

Microsoft a eu par le passé des relations conflictuelles avec cette communauté. Les Bug Bounty Programs permettent d'entretenir une véritable relation avec elle et éviter de se la mettre à dos. Ils incitent en outre à soumettre les problèmes à l'éditeur tout en les gardant secrets jusqu'à la publication d'un correctif.

De là à dire qu'on ne trouvera plus de bugs de sécurité en vente sur le marché noir... C'est une autre histoire qui touche à la cybercriminalité et plus aux hackers éthiques.

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #1372322
Je trouve que l'idée est excellente. Faire pilonner son système, pour en découvrir les failles, est la meilleure méthode de le durcir avec efficacité.
Le #1372352
Ulysse2K a écrit :

Je trouve que l'idée est excellente. Faire pilonner son système, pour en découvrir les failles, est la meilleure méthode de le durcir avec efficacité.


Hors contexte, ta phrase est dégueulasse...lol
Le #1372372
alucardx77 a écrit :

Ulysse2K a écrit :

Je trouve que l'idée est excellente. Faire pilonner son système, pour en découvrir les failles, est la meilleure méthode de le durcir avec efficacité.


Hors contexte, ta phrase est dégueulasse...lol


Oui, je viens de m'en rendre compte
Le #1372522
Pourkoi signalé la présence d'une faille de sécurité si g peu l'exploiter à des fins personnels
Le #1372592
Microsoft mort le 27 juin 2013, avec une dette qui fait oublier la Grèce. Barroso a déclaré : "il nous auront bien fait rire jusqu'au bout". Le public est invité à fleurir des dépouilles de Surface dans toutes les poubelles.
Le #1372652
wadouf a écrit :

Pourkoi signalé la présence d'une faille de sécurité si g peu l'exploiter à des fins personnels


pourquoi apprendre le francais si tu sais pas l'écrire
Le #1373042
doudawak a écrit :

wadouf a écrit :

Pourkoi signalé la présence d'une faille de sécurité si g peu l'exploiter à des fins personnels


pourquoi apprendre le francais si tu sais pas l'écrire


"pourquoi apprendre le franc[ç]ais si tu [ne] sais pas l'écrire". Avant de donner des leçons de français, il serait utile de vérifier le tien
Le #1373272
alucardx77 a écrit :

Ulysse2K a écrit :

Je trouve que l'idée est excellente. Faire pilonner son système, pour en découvrir les failles, est la meilleure méthode de le durcir avec efficacité.


Hors contexte, ta phrase est dégueulasse...lol


c'est exactement ce que j'ai pensé
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]