Huit mille dollars proposés pour abuser d’un bogue dans Vista et IE7

VeriSign a promis 8.000 dollars à qui réussirait à abuser d’un bogue dans Windows Vista ou Internet Explorer 7 afin d’exécuter à distance du code sur le système.

La récompense émane des iDefense Labs de Verisign en réaction à l’information selon laquelle des milieux louches proposeraient jusqu’à 50.000 dollars pour détecter des failles dans Vista. L’idée de payer des pirates pour un travail n’est d’ailleurs pas neuve: la Mozilla Corporation avait précédemment déjà indiqué vouloir récompenser toute personne signalant des failles critiques, et TippingPoint de 3Com a lancé une ‘Zero Day Initiative’ prévoyant la rétribution de quiconque découvre une brèche. Des entreprises comme Verisign dénoncent alors les bogues aux éditeurs de logiciels concernés et profitent de ces informations pour améliorer leurs propres programmes de sécurité.Les pirates qui estiment avoir droit à la récompense, ont tout intérêt à se presser car seuls les 6 premiers bugs seront pris en considération. En outre, les failles découvertes dans les ‘release candidates’ et les versions bêta n’entrent pas en ligne de compte. Outre les 8.000 dollars, les “fins limiers” peuvent envisager de se mettre encore 2.000 à 4.000 dollars supplémentaires en poche en documentant chaque bogue et en fournissant le code d’abus non malfaisant. Les récompenses promises ne réjouissent certes pas Microsoft, mais la société appréciera quand même le fait qu’un stimulant financier a été jugé nécessaire puisque les pirates n’ont provisoirement encore détecté aucune faille sérieuse.