Microsoft dit "non" aux récompenses pour les bugs

Cette semaine Mozilla et Google ont tous deux annoncé augmenter significativement les récompenses pour les bugs trouvés dans leurs navigateurs. Pour les failles de sécurité critiques de Firefox, un chercheur peut obtenir jusqu'à 3 000 dollars et un T-shirt. Si la faille est trouvée dans Chrome, la récompense monte à 3 133,70 dollars. Du coup beaucoup de chercheurs s'attendaient à ce que Microsoft fasse de même, et annonce à son tour une récompense pour les failles d'Internet Explorer.

BUG WANTED

Il n'en sera rien, selon un email envoyé par Jerry Bryant, le responsable du programme de sécurité de Microsoft, à ThreatPost : « Nous avons de l'estime pour l'écosystème des chercheurs, et le montrons de différentes manières, mais ne pensons pas qu'une récompense basée sur les failles soit la meilleure manière de procéder. Surtout quand les motivations des chercheurs ne sont pas toujours financières. Il est connu que nous reconnaissons les contributions des chercheurs dans nos bulletins. »

Il explique ensuite que Microsoft a engagé plusieurs chercheurs influents, et que l'entreprise paye des vendeurs et des chercheurs individuels pour tester ses produits avant leur sortie. « Beaucoup de ces vendeurs et individus ont attiré notre attention pour la première fois grâce à leur approche unique et de grande qualité dans le signalement des vulnérabilités qu'ils ont envoyé à la MSRC ».

En résumé, Microsoft n'achète pas les failles aux chercheurs, mais embauche les plus méritants d'entre eux. Ce qui laisse de côté ceux qui ne souhaitent pas travailler directement pour Microsoft.

Toujours selon ThreatPost, bien introduit dans la communauté des experts en sécurité, Microsoft ignore ainsi les demandes de certains chercheurs qui réclament depuis des années que les vendeurs de logiciels rémunèrent les chercheurs qui leur signalent des bugs. Une initiative nommée "no more free bugs for software vendors" (plus de bugs gratuits pour les vendeurs de logiciels) a même été lancée en début d'année dernière par Alex Sotirov, Dino Dai Zov et Charlie Miller, trois découvreurs de bugs. Ils expliquent que les chercheurs qui travaillent dans leur temps libre à trouver des bugs devraient être rémunérés, au même titre que les salariés de ces entreprises.

Surtout que selon eux, une faille vendue au marché noir à une agence gouvernementale ou à des particuliers peut atteindre jusqu'à 100 000 dollars...

Vous n'avez pas encore de notification

Page d'accueil
Options d'affichage
Abonné
Actualités
Abonné
Des thèmes sont disponibles :
Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !