Microsoft : 100 000 dollars de récompense pour avoir contourné une protection

Cherchez bien, ça paye

Vendredi dernier, un chercheur en sécurité a remporté la somme de 100 000 dollars en exposant à Microsoft les détails de plusieurs contournements de mesures de protections. Cette somme représente le maximum possible pour le programme de récompense mis en place en juin 2013 pour,  justement, mettre en lumière les brèches dans les murailles.

ie11

Internet Explorer 11 dans Windows 8.1

Jusqu'à 100 000 dollars pour contourner une protection 

En juin de l’année dernière, Microsoft lançait un important programme de sécurité. Relativement certaine de ses capacités de défense, notamment au sein de Windows depuis Vista, elle annonçait récompenser jusqu’à 100 000 dollars tout chercheur qui serait en mesure d’établir la preuve que des mesures de protection pouvaient être contournées. Cela valait aussi bien pour l’ASLR (Adress Space Layout Randomization), une technique qui a d’abord fait son apparition dans Internet Explorer, que l’UAC (User Account Control).

 

Cette récompense de 100 000 dollars n’a été accordée qu’une seule fois, en octobre dernier, au chercheur James Forshaw. Il avait découvert une technique de contournement dans Windows 8.1 et Microsoft avait insisté notamment sur la qualité du rapport qui avait été remis. La firme avait par ailleurs précisé que les 100 000 dollars tenaient compte d’un certain nombre de variantes dans l’attaque, soulignées par l’auteur.

Une manière de gagner du temps 

Pour la deuxième fois dans l’histoire de ce programme, Microsoft vient d’attribuer 100 000 dollars. Il s’agit d’un autre chercheur, Yu Yang, travaillant pour NSFOCUS Security Labs. La somme tient compte cette fois d’un lot de techniques de contournement qui concernent Windows 8.1, Internet Explorer 11 ou bien les deux, les détails n’ayant pas été fournis.

 

Si la somme peut paraître élevée, l’éditeur précise que ces rapports peuvent lui permettre de mieux cerner la manière dont des protections peuvent contournées (« mitigation bypass ») et donc de bloquer des classes entières d’attaques. Pour information, plusieurs récompenses ont déjà été offertes à différents chercheurs pour des rapports sur Internet Explorer 11, dont 1 100 dollars à Ivan Fratric de chez Google et 5 500 dollars à Jose Antonia Vasquez Gonzalez, de Yenteasy Research. Fermin J. Serma, également de chez Google, a pour sa part empoché 25 000 dollars.

Vous n'avez pas encore de notification

Page d'accueil
Options d'affichage
Abonné
Actualités
Abonné
Des thèmes sont disponibles :
Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !