Windows 8.1 et IE11 : Microsoft récompense les exploits des hackers

Twitter iPhone pliant OnePlus 11 PS5 Disney+ Orange Livebox Windows 11

Actualités Windows 8.1 et IE11 : Microsoft récompense les exploits des hackers

Publié le 20 juin 2013 à 09:22 par Jérôme G.

Lire sur mobile

Microsoft va débourser des billets verts pour des chercheurs en sécurité qui trouvent et soumettent des trous dans les défenses de sécurité de Windows 8.1. Également pour des failles dans Internet Explorer 11.

Microsoft n'a jamais été fan des programmes de récompenses pour la découverte et le rapport de bugs de sécurité. Les fameux Bug Bounty Programs qu'affectionnent par contre Google, Facebook ou encore Mozilla.

La firme de Redmond a déjà néanmoins fait quelques entailles à sa politique en la matière avec le BlueHat Prize. Un prix de 200 000 dollars est mis en jeu dans un concours pour la technique la plus novatrice permettant d'éviter l'exploitation de failles.

Désormais, Microsoft embrasse un peu plus l'esprit des Bug Bounty Programs tout en y apportant sa touche personnelle. Un appel est lancé aux " amis, hackers et chercheurs " qui veulent améliorer la sécurité de produits de Microsoft et gagner de l'argent.

Ce sont trois programmes qui vont être lancés à partir du 26 juin prochain. Une date qui n'est pas anodine puisqu'elle correspond à la publication de la préversion de Windows 8.1.

Microsoft déboursera jusqu'à 100 000 dollars pour des techniques d'exploitation innovantes permettant de passer outre les protections de Windows 8.1. Un rapport détaillé devra être fourni ainsi qu'un exploit fonctionnel dans le contexte d'une exploitation à distance.

La somme de 50 000 dollars pourra être ajoutée si le participant développe un moyen de défense contre le code qu'il a lui-même écrit.

Microsoft va en outre débourser jusqu'à 11 000 dollars pour des failles qui affectent la préversion d'Internet Explorer 11 sur le nouvel OS. Ce troisième programme prendra fin le 26 juillet. Aucune date d'arrêt n'a par contre été fixée pour Windows 8.1.

De plus amples détails sont donnés dans ce billet de blog. C'est donc la première fois que Microsoft va payer directement des chercheurs en sécurité en échange du rapport de certains types de vulnérabilités et de techniques d'exploitation.

" Nous faisons ce changement afin d'en apprendre davantage sur ces problèmes de sécurité plus tôt et pour augmenter la relation gagnant-gagnant entre les clients de Microsoft et la communauté des chercheurs en sécurité "

, écrit Katie Moussouris, Senior Security Strategist chez Microsoft.

Microsoft a eu par le passé des relations conflictuelles avec cette communauté. Les Bug Bounty Programs permettent d'entretenir une véritable relation avec elle et éviter de se la mettre à dos. Ils incitent en outre à soumettre les problèmes à l'éditeur tout en les gardant secrets jusqu'à la publication d'un correctif.

De là à dire qu'on ne trouvera plus de bugs de sécurité en vente sur le marché noir... C'est une autre histoire qui touche à la cybercriminalité et plus aux hackers éthiques.