Microsoft : 100 000 dollars de récompense pour avoir contourné une protection

Microsoft : 100 000 dollars de récompense pour avoir contourné une protection

Cherchez bien, ça paye

Avatar de l'auteur
Vincent Hermann

Publié dans

Logiciel

17/02/2014 2 minutes
27

Microsoft : 100 000 dollars de récompense pour avoir contourné une protection

Vendredi dernier, un chercheur en sécurité a remporté la somme de 100 000 dollars en exposant à Microsoft les détails de plusieurs contournements de mesures de protections. Cette somme représente le maximum possible pour le programme de récompense mis en place en juin 2013 pour,  justement, mettre en lumière les brèches dans les murailles.

ie11

Internet Explorer 11 dans Windows 8.1

Jusqu'à 100 000 dollars pour contourner une protection 

En juin de l’année dernière, Microsoft lançait un important programme de sécurité. Relativement certaine de ses capacités de défense, notamment au sein de Windows depuis Vista, elle annonçait récompenser jusqu’à 100 000 dollars tout chercheur qui serait en mesure d’établir la preuve que des mesures de protection pouvaient être contournées. Cela valait aussi bien pour l’ASLR (Adress Space Layout Randomization), une technique qui a d’abord fait son apparition dans Internet Explorer, que l’UAC (User Account Control).

 

Cette récompense de 100 000 dollars n’a été accordée qu’une seule fois, en octobre dernier, au chercheur James Forshaw. Il avait découvert une technique de contournement dans Windows 8.1 et Microsoft avait insisté notamment sur la qualité du rapport qui avait été remis. La firme avait par ailleurs précisé que les 100 000 dollars tenaient compte d’un certain nombre de variantes dans l’attaque, soulignées par l’auteur.

Une manière de gagner du temps 

Pour la deuxième fois dans l’histoire de ce programme, Microsoft vient d’attribuer 100 000 dollars. Il s’agit d’un autre chercheur, Yu Yang, travaillant pour NSFOCUS Security Labs. La somme tient compte cette fois d’un lot de techniques de contournement qui concernent Windows 8.1, Internet Explorer 11 ou bien les deux, les détails n’ayant pas été fournis.

 

Si la somme peut paraître élevée, l’éditeur précise que ces rapports peuvent lui permettre de mieux cerner la manière dont des protections peuvent contournées (« mitigation bypass ») et donc de bloquer des classes entières d’attaques. Pour information, plusieurs récompenses ont déjà été offertes à différents chercheurs pour des rapports sur Internet Explorer 11, dont 1 100 dollars à Ivan Fratric de chez Google et 5 500 dollars à Jose Antonia Vasquez Gonzalez, de Yenteasy Research. Fermin J. Serma, également de chez Google, a pour sa part empoché 25 000 dollars.

Écrit par Vincent Hermann

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Jusqu'à 100 000 dollars pour contourner une protection 

Une manière de gagner du temps 

Commentaires (27)


Pirate récompensé <img data-src=" /><img data-src=" />


Ça peut servir à payer les condamnations ?

<img data-src=" />


Le gouvernement devrait faire pareil pour ses sites publics.



(non, ne répondez pas que ça le ruinerait <img data-src=" /> )




ces rapports peuvent lui permettre de mieux cerner la manière dont des protections peuvent contournées (« mitigation bypass ») et donc de bloquer des classes entières d’attaques.





Donc…



malgré les recodages/colmatages de ces 15 dernières années, il existe encore des “classes entières d’attaques” qui contournent les protections de Windows.




Si la somme peut paraître élevée,



Eut égard à ce que gagne certains dev de jeux casual affligeant, tt bien considéré je trouve cette somme honnête pour un chercheurs en sécu qui s’est cassé la tête à mettre en évidence les failles. Et puis 100000€, c’est rien pour MS surtout si cela peut améliorer son image quant à la sécurité de win<img data-src=" />








127.0.0.1 a écrit :



Donc…



malgré les recodages/colmatages de ces 15 dernières années, il existe encore des “classes entières d’attaques” qui contournent les protections de Windows.







Une faille peut être exploitée de plusieurs façons. Donc oui il existe des des classes entière d’attaque qui peuvent exploiter des failles.



Tout comme il existe des failles dans Linux ou des logiciels libres qui sont découvertes et corrigées parfois des années après que le code ait été écrit et plusieurs changement de versions du logiciel.



Surtout que les mises en oeuvres de sécurité comme l’ASLR sont assez standard et se retrouvent partout.









fred42 a écrit :



Ça peut servir à payer les condamnations ?

<img data-src=" />







Ces mecs ne sont pas condamnés, ils ne font rien d’illégal.









dam1605 a écrit :



Ces mecs ne sont pas condamnés, ils ne font rien d’illégal.





Je le sais. Je pensais à un Français qui a des soucis avec la justice à cause de gogleuh.



100 000 USD je ne trouve pas cela énorme compte tenu des enjeux. Il me semble que ce que des sociétés comme Microsoft ou Google payent bien moins que ce que le marché noir propose pour ces failles (=les gouvernements / la NSA / différents groupes tipiak…).



Visiblement certains gagnent mieux leur vie que cela ! (Source :http://korben.info/interview-black-hat.html )









Flogik a écrit :



100 000 USD je ne trouve pas cela énorme compte tenu des enjeux. Il me semble que ce que des sociétés comme Microsoft ou Google payent bien moins que ce que le marché noir propose pour ces failles (=les gouvernements / la NSA / différents groupes tipiak…).



Visiblement certains gagnent mieux leur vie que cela ! (Source :http://korben.info/interview-black-hat.html )





Certes c’est pas énorme, mais ça reste quand même très honnête et ça permet à celui qui a trouvé la faille d’être moins tenté de basculer du “coté obscur”









Flogik a écrit :



100 000 USD je ne trouve pas cela énorme compte tenu des enjeux. Il me semble que ce que des sociétés comme Microsoft ou Google payent bien moins que ce que le marché noir propose pour ces failles (=les gouvernements / la NSA / différents groupes tipiak…).







(Attention ceci n’est pas un troll) C’est toujours plus que ce qu’offre la communauté linuxienne pour tout ceux détectant et corrigeant des vulnérabilités. Alors qu’ils pourraient vendre les infos qu’ils trouvent sur le marché noir et se faire masse de thunes.

Mais apparemment, pour certains, c’est incroyablement dur de croire que des gens veulent réellement participer à l’amélioration de la sécurité des logiciels propriétaire.



Et sinon, 100,000$ c’est environ l’équivalent d’un an de salaire pour un “Expert”.

Je pense pas que ça soit peu.





Visiblement certains gagnent mieux leur vie que cela ! (Source :http://korben.info/interview-black-hat.html )










Jed08 a écrit :



Une faille peut être exploitée de plusieurs façons. Donc oui il existe des des classes entière d’attaque qui peuvent exploiter des failles.







hum… même faille exploitée, mais exploitation différente (virus, trojan, copie, effacement, …) –&gt; ce sont des “variantes” (comme précisé dans le news).



Pour moi, “Classe d’attaque” ca veut dire même vecteur d’attaque =&gt; un même composant “fragile” est attaqué afin d’y trouver des failles différentes (ASLR, UAC, …).



Sacré coup de sword nocturne !


Moi ça m’avait rapporté 50€ la faille qui permettait de lire les factures d’autres clients sur un site d’achat. <img data-src=" />


Le plus gros soucis de Microsoft avec Internet Explorer, c’est cette idée complètement absurde de ne pas mettre à disposition les dernières version de IE aux utilisateurs d’anciennes versions de windows…


La sword a été généreuse mais bizarrement je ne suis pas étonné.

Dès qu’une news rassemble les mots “faille” et “windows”, les trolls de bas étage se ramènent.



Sinon effectivement 100.000$ correspondant, comme dit précédemment, à un an de salaire d’un expert en sécurité (fourchette basse certe), je trouve cela plutôt juste.








Flogik a écrit :



100 000 USD je ne trouve pas cela énorme compte tenu des enjeux. Il me semble que ce que des sociétés comme Microsoft ou Google payent bien moins que ce que le marché noir propose pour ces failles (=les gouvernements / la NSA / différents groupes tipiak…).



Visiblement certains gagnent mieux leur vie que cela ! (Source :http://korben.info/interview-black-hat.html )





Merci pour le lien, interview très intéressante !