Microsoft a officellement rejeté l’idée de récompenser ou de rémunérer les experts en sécurité pour leurs « exploits » (découverte d’une faille encore non repérée par un éditeur) – une pratique pourtant courante chez ses homologues.
Dans un entretien accordé à Vnunet.com à l’occasion du salon Infosecurity 2007, Roger Halbheer, responsable de la sécurité chez Microsoft, a indiqué qu’il n’était pas question que les chercheurs soient payés en échange de la découverte de nouvelles vulnérabilités. L’éditeur préfère collaborer avec les chercheurs en sécurité » et les remercier lors des mises à jour mensuelles.
« Je ne pense pas que la rémunération soit une idée saine », déclare Roger Halbheer. « Nous organisons à Redmond une conférence dédiée à la recherche, appelée Bluehat. Dès que les chercheurs découvriront notre façon de travailler, ils commenceront à nous faire confiance. Après tout, nous ne sommes pas avares de correctifs, mais les ‘patches’ demandent un développement très complexe. »
Selon Roger Halbheer, le développement d’un correctif(patch) peut parfois prendre plusieurs centaines de jours/homme, une durée qui s’explique en partie par un long processus de test. Par exemple, un patch pour Internet Explorer doit subir 400 tests avant d’être publié.
Cela dit, Microsoft ne s’est jamais interdit d’offrir des récompenses dans certains cas particuliers. Il y a trois ans, l’éditeur avait offert 250.000 dollars de récompense à celui qui mettrait la main sur l’auteur du ver MyDoom.
Ailleurs, la fondation Mozilla offre 500 dollars et un T-shirt gratuit pour chaque vulnérabilité détectée.
D’autres organisations du secteur usent également de cette tactique. Aux Etats-Unis, la FTC (Commission Fédérale du Commerce) a proposé des récompenses allant jusqu’à 250.000 dollars en échange d’informations susceptibles d’aboutir à la condamnation d’auteurs de spams.
Les éditeurs de sécurité Tipping Point et iDefense ont également recours à ces moyens de motivation, récompense.
La Cour des comptes appelle à formaliser et à professionnaliser certains aspects du RIE, tout…
La Cour des comptes attire l'attention sur le risque d'affaiblissement d'Etalab, privé, ces dernières années,…
Missions historiques de la Dinum, l'ouverture des données publiques et la promotion des logiciels libres…
Pour développer une version 7B de son modèle Codestral, Mistral AI n'a pas utilisé de…
L’Autorité de la concurrence et des marchés (CMA) britannique ouvre une enquête sur les conditions…
Thomas Gourand est nommé Directeur Général pour la France. Il est chargé du développement de…