Microsoft refuse de rémunérer la découverte de vulnérabilités
Selon l’éditeur, ce système de récompense destiné aux chercheurs ayant révélé
une faille n’est pas une « idée saine ».
Microsoft a publiquement exclu l’idée de récompenser les experts en sécurité pour la découverte d’exploits (une faille encore non comblée par un éditeur). Une pratique pourtant courante parmi ses homologues.
Dans une entrevue accordée à Vnunet.com à l’occasion du salon Infosecurity 2007, Roger Halbheer, responsable de la sécurité chez Microsoft, a indiqué qu’il n’était pas question que les chercheurs soient payés en échange de la découverte de nouvelles vulnérabilités. L’éditeur préfère collaborer avec les chercheurs en sécurité et les remercier lors des mises à jour mensuelles.
« Je ne pense pas que la rémunération soit une idée saine », a déclaré Roger Halbheer. « Nous organisons à Redmond une conférence dédiée à la recherche, appelée Bluehat. Dès que les chercheurs découvriront notre façon de travailler, ils commenceront à nous faire confiance. Après tout, nous ne sommes pas avares de correctifs, mais les patches demandent un développement très complexe. »
Selon Roger Halbheer, le développement d’un patch peut parfois prendre plusieurs centaines de jours, une durée qui s’explique en partie par un long processus de test. Par exemple, un patch proposé pour le navigateur Internet Explorer doit subir 400 tests avant d’être enfin publié.
Microsoft ne s’est jamais opposé à offrir des récompenses dans certains cas particuliers. Il y a trois ans, l’éditeur avait offert 250 000 dollars de récompense à celui qui mettrait la main sur l’auteur du ver MyDoom. La fondation Mozilla offre 500 dollars et un T-shirt gratuit pour chaque vulnérabilité détectée.
D’autres organisations du secteur usent également de cette tactique. Aux Etats-Usi, la Commission fédérale du commerce (FTC) a proposé des réc ompenses allant jusqu’à 250 000 dollars en échange d’informations susceptibles d’aboutir à la condamnation d’auteurs de spams.
Les éditeurs de sécurité Tipping Point et iDefence ont également recours à cette technique d’appât.
Traduction d’un article de Vnunet.com en date du 24 avril 2007