On continue à les provoquer

21/01-2007 à 21:27Au fil du surf, j'ai trouvé çà, qui vient de paraître semble t-il:

Huit mille dollars proposés pour abuser d'un bogue dans Vista et IE7

Rédaction Data News (avec Tweakers.net), DataNews, 12 Janvier 2007
VeriSign a promis 8.000 dollars à qui réussirait à abuser d'un bogue dans Windows Vista ou Internet Explorer 7 afin d'exécuter à distance du code sur le système.
PUBLICITÉ
La récompense émane des iDefense Labs de Verisign en réaction à l'information selon laquelle des milieux louches proposeraient jusqu'à 50.000 dollars pour détecter des failles dans Vista. L'idée de payer des pirates pour un travail n'est d'ailleurs pas neuve: la Mozilla Corporation avait précédemment déjà indiqué vouloir récompenser toute personne signalant des failles critiques, et TippingPoint de 3Com a lancé une 'Zero Day Initiative' prévoyant la rétribution de quiconque découvre une brèche. Des entreprises comme Verisign dénoncent alors les bogues aux éditeurs de logiciels concernés et profitent de ces informations pour améliorer leurs propres programmes de sécurité.

Les pirates qui estiment avoir droit à la récompense, ont tout intérêt à se presser car seuls les 6 premiers bugs seront pris en considération. En outre, les failles découvertes dans les 'release candidates' et les versions bêta n'entrent pas en ligne de compte. Outre les 8.000 dollars, les "fins limiers" peuvent envisager de se mettre encore 2.000 à 4.000 dollars supplémentaires en poche en documentant chaque bogue et en fournissant le code d'abus non malfaisant. Les récompenses promises ne réjouissent certes pas Microsoft, mais la société appréciera quand même le fait qu'un stimulant financier a été jugé nécessaire puisque les pirates n'ont provisoirement encore détecté aucune faille sérieuse.

----------
Les chanceux sont ceux qui arrivent à tout ;
les malchanceux, ceux à qui tout arrive!

21/01-2007 à 23:12Bonjour, et dire que les pirates font cela pour le fun...

Merci pour l'info, @+

----------
C'est pas toujours facile !

21/01-2007 à 23:40http://labs.idefense.com/vcp/challenge.php#more_q1+2007%3A+vulnerability+challenge

Verisign est assez nul dans la recherche des bugs, alors ils demandent à d'autres, plus patients et plus compétents de faire le boulot. Je doute de leur succès. Ils se foutent du monde car ensuite ils peuvent revendre ces failles bien plus cher.
Les "Vulnerabilites Sharing Club". sont des sociétés de sécurité tout à fait légales (comme Verisign ou Tipping Point ) qui proposent la divulgation de failles, les exploits 0days, à leurs clients, pour un abonnement qui va de 50 000 à 100 000 $, ou les vendent au détail à 2000 $ prix minimum en fonction de leur danger.
Il faut savoir d'autre part que la découverte des failles se négocie, cher, sur le marché du piratage informatique. Et ça peut rapporter très gros, jusqu'à 50 000 $ pour une faille sous Vista.

Modifie par Modifié par grolou le 21/01/20

21/01-2007 à 23:42la première faille est dans le prix : trop cher

22/01-2007 à 00:06D'après le lien que tu envoies Grolou, c'est dégueulasse ce que font certaines boîtes à chaque nouvelle sortie importante. Moi, je dis que c'est provoquer les pirates et autres bandits des grands chemins d'internet
et leur donner encore plus de moyens (çà doit les exciter les salauds) pour trouver ce qu'en fait personne de "normal" n'a envie de trouver: les failles et autres faiblaisses.

----------
Les chanceux sont ceux qui arrivent à tout ;
les malchanceux, ceux à qui tout arrive!