Concours de failles Vista : pour une poignée de 8000 dollars

Un éditeur de solutions de sécurité américain offrira une récompense de 72 000 dollars au total pour la découverte de failles de sécurité sur le système d’exploitation Windows Vista et le navigateur Internet Explorer 7 de Microsoft.

IDefense vient de lancer son dernier programme Quarterly Vulnerability Challenge qui offre aux chercheurs jusqu’à 8 000 dollars s’ils découvrent une vulnérabilité exploitée favorisant l’exécution de code à distance. A cette somme s’ajouteront 2 000 à 4 000 dollars supplémentaires si le chercheur concerné est à même de fournir un code exploit fonctionnel.

IDefense a défini des règles strictes pour ce concours. L’éditeur n’acceptera pas plus de six vulnérabilités, lesquelles devront sans exception être décelées dans les versions les plus récentes des logiciels. Aucun code exploit ne devra par ailleurs contenir une quelconque charge utile malveillante.

Ni soutien, ni opposition

Les failles permettant l’exécution de code à distance figurent parmi les menaces les plus sérieuses pesant sur l’utilisateur. Les experts en sécurité leur attribuent les niveaux d’alerte les plus élevés et les considèrent fréquemment comme des vulnérabilités « critiques ».

Bien que la politique mise en oeuvre par Microsoft interdit à l’éditeur de rémunérer la découverte de vulnérabilités, l’éditeur a affirmé qu’il ne soutenait ni ne s’opposait au programme iDefense.
« Microsoft ne s’oppose pas aux initiatives qui vont dans le sens des processus établis en matière de divulgation responsable et ne mettent pas en danger le consommateur, a affirmé un porte-parole à vnunet.com. Microsoft se refuse à spéculer sur les motivations des chercheurs tiers, mais s’engage à collaborer avec eux sur les problèmes qu’ils porteront à notre attention. »

Eric Sites, vice-président de la recherche et du développement chez Sunbelt Software, a confié à vnunet.com qu’il avait un point de vue partagé sur ce concours. Si le programme iDefense récompense les utilisateurs pour le développement d’attaques, Eric Sites considère qu’il favorise la divulgation de vulnérabilités qui, dans d’autres circonstances, auraient pu être détectées par un auteur malveillant et exécutées sans aucune forme d’avertissement.

Avantage concurrentiel

Selon lui, le fait de rémunérer les utilisateurs pour obtenir le droit d’attaquer du code confère à l’éditeur un avantage concurrentiel en offrant aux consommateurs une protection exclusive, mais cela laisse également les utilisateurs des autres programmes de sécurité vulnérables aux attaques.

L’initiative d’iDefense n’a rien d’innovant, estime Eric Sites, faisant référence au marché souterrain en pleine expansion des nouveaux exploits développés par des auteurs de programmes d’attaque utilisé par les auteurs et par les distributeurs de codes malveillants.

Les vulnérabilités permettant l’exécution de code à distance figurent parmi les plus recherchées dans la mesure où elles offrent à un pirate un contrôle quasiment illimité sur un système.
Dave Marcus, directeur des recherches de sécurité et de la communication chez McAfee, a expliqué cet intérêt pour ce type de vulnérabilités au cours d’une entrevue accordée le mois dernier à nos confrères de vnunet.com, suite à la publication de son rapport sur la multiplication récente des failles critiques.

« La vulnérabilité critique est définitivement le Saint Graal des vulnérabilités« , a déclaré Dave Marcus. « C’est cette vulnérabilité que les auteurs de programmes malveillants et les opérateurs de botnets veulent utiliser car elle est à la seule qui leur permette d’injecter du code. » Microsoft a corrigé plus de 130 vulnérabilités critiques en 2006, soit plus du double du nombre de correctifs publiés l’année précédente.

(Traduction d’un article de Vnunet.com en date du 12 janvier 2007.)