Discussion :

[Hinault Romaric]

Microsoft met Windows 8.1 et IE 11 à l’épreuve des hackers
la société offrira 100 000 dollars à l’expert en sécurité qui pourra pirater l’OS

Une Preview de Windows 8.1 (lire le dossier de la rédaction sur l'OS), la prochaine mise à jour de l’OS de Microsoft sera dévoilée le 26 juin prochain. Parmi les améliorations présentées jusqu’ici, la sécurité occupe une place de choix.

Confiant de la fiabilité de son OS, Microsoft a décidé de mettre celui-ci à l’épreuve des hackers lors du prochain Black Hack qui se tiendra en fin du mois prochain à Las Vegas. La firme prépare un « Mitigation Bypass Bounty event », où les participants vont tenter de pirater Windows 8.1 devant un comité de sélection.

La firme de Redmond va offrir une prime de 100 000 dollars (et l'ordinateur portable utilisé pour le hack) au premier hacker qui réussira un exploit sur une préversion de Windows 8.1 et un bonus de 50 000 dollars si celui-ci fournit les détails sur la procédure utilisée pour pirater l’OS.

Les chercheurs en sécurité pourront obtenir une prime additionnelle de 50 000 dollars s’ils peuvent aider Microsoft à corriger une faille majeure dans le système d’exploitation.

Le dernier programme de primes de Microsoft, qui concerne Internet Explorer 11, permettra d’empocher 11 000 dollars pour des vulnérabilités critiques qui affectent la Preview du navigateur sur Windows 8.1. Les hackers devront s’inscrire les trente premiers jours après la sortie d’IE 11 Preview.

Avec ce nouveau programme, Microsoft rejoint ainsi Google, Facebook ou encore PayPal, qui offrent des primes à des chercheurs pour la découverte des failles dans leurs produits. Pour Microsoft, ce programme fait partie des efforts continus de l’entreprise pour approfondir ses relations avec la communauté des chercheurs en sécurité.

Par ailleurs, il permettra à la société de rapidement combler les failles de son OS et mettre l’utilisateur final à l’abri des attaques. Il faut noter que le marché des vulnérabilités sur les logiciels est assez controversé. Plusieurs experts en sécurité préfèrent garder le secret sur les failles qu’ils découvrent pour les vendre au plus offrant sur le marché noir.


Source : Microsoft


Et vous ?

Que pensez-vous de cette initiative de Microsoft ?

Pensez-vous que Windows 8.1 pourra résister aux assauts des hackers ?

[imikado]

Je pense que c'est une bonne idée, ça permet d'avoir une sorte d'audit de sécurité géant, mais il faudrait conditionner la prime: ici je lis que c'est un bonus d'expliquer la faille exploitée, alors que ça devrait faire partie de la contrepartie:

Tu trouves une faille, tu expliques à Microsoft en détail et tu es "rémunéré" pour cela

[Zouch-K]

La même ... J'ai du mal à saisir l'intérêt de permettre aux hackers de dire "Ah, je t'ai hacké, par contre tu sauras pas comment !".
Ils vont s'amuser à essayer de recréer un exploit donc ils ont aucun détail les mecs de chez Crosoft ^^

[Bestel74]

Plusieurs experts en sécurité préfèrent garder le secret sur les failles qu’ils découvrent pour les vendre au plus offrant sur le marché noir.

En même temps, actuellement, celui qui découvre une faille il a quoi ? de la reconnaissance ? Avant ils pensaient peut-être décrocher un job, maintenant je suis presque sur qu'ils ont peur de finir en prison

[nikau6]

Si Microsoft mettait en place un programme de primes en continu, si ils donnaient de fortes primes à tous ceux qui leurs signal des failles exploitables critiques, ça pourrait inciter les meilleures des pirates, ceux qui travaillent avec des groupes mafieux, qui eux savent quoi faire de données bancaire volées(parce que c'est un métier, qui saurait ici quoi faire de milliers de donnés en provenance de compte en banque ?), ça pourrait donc les inciter à revenir dans l'égalité.
Si ils avaient la garantie de se faire suffisamment d'argent en signalant les failles qu'ils trouvent à Microsoft, ils n'auraient plus beaucoup d’intérêt à rester dans l'illégalité.

ps : Ils pourraient même embaucher des pirates à temps plein...

[Bestel74]

Si Microsoft mettait en place un programme de primes en continu, si ils donnaient de fortes primes à tous ceux qui leurs signal des failles exploitables critiques, ça pourrait inciter les meilleures des pirates, ceux qui travaillent avec des groupes mafieux, qui eux savent quoi faire de données bancaire volées(parce que c'est un métier, qui saurait ici quoi faire de milliers de donnés en provenance de compte en banque ?), ça pourrait donc les inciter à revenir dans l'égalité.
Si ils avaient la garantie de se faire suffisamment d'argent en signalant les failles qu'ils trouvent à Microsoft, ils n'auraient plus beaucoup d’intérêt à rester dans l'illégalité.

ps : Ils pourraient même embaucher des pirates à temps plein...

Oui... mais qui va oser embaucher des gens avec si peu d'éthique ?

[eomer212]

ca depends du contexte.
pirate ou hacker ne veut pas forcement dire salaud.
dans certains pays, ils n'ont pas d'autre choix pour vivre convenablement de leur 'art'.
de plus, pas confondre un pirate avec un mafieux.
le mafieux est un salaud qui utilise les services du pirate pour voler et escroquer.
maintenant, il y a aussi des pirates malhonnétes, fondamentalements.
et d'autres, dont la seule envie est de faire avancer le schmilblick.
bref, generaliser, c'est mal..

rappellez vous ce qui s'est passé quand un ingénieur francais est allé voir le groupement des cartes bancaires en leur disant, "j'ai trouvé la faille dans votre systéme, je peux vous aider à la combler."
ils l'ont poursuivis en justice ces cons!

je trouve que les sociétés prennent un bon virage. aller trouver les compétences là ou elles se trouvent, et ne garder qu'un but en point de mire, combler les monstrueuses lacunes de leurs programmeurs.
mais le programme de remuneration de microsoft est encore trop tordu, voir foutage de gueule. quand on voit les budgets de crosoft, ca fait vraiment petit joueur.
une prime conséquente et renouvelable devrait etre en jeu en permanence, pour motiver les chercheurs(inclus les pirates et tout le monde en fait) à trouver le maximum de failles pour les corriger et peut etre (révons un peu ) arriver à un systéme sûr.
et s'ils doivent les embaucher pour pondre des codes vraiment securisés, pourquoi pas.??
le meilleur defenseur est bien souvent celui qui sait le mieux attaquer..