S'identifier / Créer un compte
  • Actualités
  • Dossiers
  • Tests
  • Commentaires
  • INpactiens
Publicité

3com paye la découverte des trous de sécurité

dollarsGénéralement, la chasse au trésor consiste à creuser un trou pour découvrir une caissette bourrée de pièces. En informatique, il suffit parfois de simplement trouver un trou.

A ce titre, la société 3com vient d'initier un programme très particulier pour féliciter ces mineurs de la sécurité : Zero Day Initiative (ou ZDI)

Son ambition ? Rétribuer avec de juteux dollars les découvreurs de failles informatiques. Ce programme a été mis en place par 3com et TippingPoint, l'une de ses divisions informatiques. Cette chasse à la faille poursuit trois objectifs solidaires : la rémunération des découvreurs de failles indépendants, la promotion et l'incitation au full disclosure "responsable" ou contrôlé et enfin la fourniture aux clients de TippingPoint-3com d'une plus grande sécurité.

Traque au trou et au trésor
En pratique, comment se passe cette traque ? Un chercheur trouve une faille. Il s'enregistre chez ZDI et présente sa découverte. Il reçoit en retour, un numéro d'identification. 3com de son côté vérifie la faille et décide le cas échéant de faire une offre au chercheur. S'il accepte, il transmet toutes les informations sur ses travaux. Il est alors payé via Paypal, Waster Union ou Wire Transfer. Ceci fait, 3com contacte la société aux produits vulnérables et Tipping Point s'occupe de protéger au mieux ses propres clients. Plus tard, la faille est communiquée aux autres professionnels de la sécurité et, une fois le patch disponible, elle est détaillée au public. Le découvreur de la faille pourra, s'il le souhaite, rester anonyme.

Evidemment, l'offre de rétribution va varier selon différents critères : on ne beurrera pas une faille de cross site scripting de la même manière que celle jetant aux quatre vents, la base de données de 90 000 clients... Les critères sont donc multiples : est ce que le produit affecté est largement déployé ? Quels seront les privilèges de l'attaquant ? Est-ce que la faille touche une configuration par défaut ? Est-ce que cela concerne des produits à forte valeur (base de données, serveurs d'e-commerce, routers, etc.) ? Est-ce que l'attaquant doit manier en plus une attaque par ingénierie sociale, etc. ?

Cadeau bonus
En plus de la rétribution directe, un cadeau bonus attend le découvreur. C'est un système de points qui fonctionne par des primes de 1000 à 20 000 dollars (voir la page dédiée).

Le but de ce système est d'éviter que des failles soient révélées au grand public trop sauvagement. Cela peut mettre en danger la société concernée et du coup la sécurité de ses propres clients. "Plus tôt nous avons l'information, plus tôt nous pouvons agir au profit des clients. Au final, les bénéfices sont pour tout le monde : les professionnels de la sécurité, les chercheurs en sécurité, et le client final tout comme ceux de 3com et Tipping Point" notent les organisateurs.

Le nouveau Western
Mozilla (500$ et un t-shirt) et la société de sécurité iDefense, récemment rachetée par Verisign, ont déjà des programmes similaires.

L'initiative qui ressemble à un "Reward" placardé dans un bon vieux Western, peut sembler bonne pour éviter les épisodes comme celui-ci, qui a frappé Internet Explorer. D'autres diront que mêler ainsi l'argent et ce secteur présente toujours un risque aigu. Puisque plutôt que de favoriser la sécurité générale, cela peut aussi inciter les scripts kiddies à tester la solidité des serveurs à tour de bras en faisant plus ou moins n'importe quoi, par appât du gain.

Le programme sera en tout cas présenté lors de la Conférence Black Hat de Las Vegas, véritable pépinière à hackers.

3com s'offre du même coup un sérieux coup de projecteur alors que la société a clos son dernier trimestre fiscal sur un chiffre d’affaires de 176,7 millions de dollars, en recul par rapport aux 183,4 M$ réalisés à la même période de 2004. La société enregistrait un déficit net de 18,7 M$ il y a un an. Aujourd'hui, il atteint 58,3 M$...
Publiée le 26/07/2005 à 09:55

Soutenez l'indépendance de Next INpact en devenant Premium

  • Tout le contenu de Next INpact sans pub
  • Et bien plus encore...
;