Microsoft ne fait pas semblant et honore sa promesse de récompenser les trouvailles de chercheurs en sécurité. Le programme de récompense qui concernait la préversion d'Internet Explorer 11 a pris fin le 26 juillet avec plus de 28 000 dollars déboursés pour six chercheurs. Parmi ceux-ci, James Forshaw a touché 9 400 dollars auxquels viennent s'ajouter 100 000 dollars.
Cette somme rondelette récompense cet expert en sécurité qui travaille au Royaume-Uni chez Context Information Security et qui est l'auteur de l'outil de test réseau Canape. C'est aussi un habitué des concours de hacking.
James Forshaw est le premier à toucher 100 000 $ pour une technique d'exploitation innovante capable de passer outre les protections de Windows 8.1. C'est le libellé de ce Mitigation Bypass Bounty Program qui est toujours en cours. Pour plus de détails sur cette technique, il faudra attendre la mise en œuvre de la parade.
Responsable de la stratégie de sécurité chez Microsoft, Katie Moussouris explique qu'une telle somme est légitime dans la mesure où la découverte d'une nouvelle technique d'attaque permet de " développer des défenses contre des catégories entières d'attaque ".
" Cette connaissance nous aide à rendre les vulnérabilités individuelles moins utiles quand les attaquants tentent d'en tirer parti contre nos clients ". Elle ajoute que le renforcement de la plateforme profite à toutes les applications qui fonctionnent sur Windows et pas seulement les applications Microsoft.
Selon Microsoft, un de ses ingénieurs, Thomas Garnier, avait également trouvé une variante de la technique rapportée par James Forshaw. La soumission de James Forshaw a été jugée de grande qualité et " a décrit d'autres variantes ". De quoi mériter les 100 000 dollars. La communauté de la sécurité devrait fortement apprécier.
