Vendredi dernier, un chercheur en sécurité a remporté la somme de 100 000 dollars en exposant à Microsoft les détails de plusieurs contournements de mesures de protections. Cette somme représente le maximum possible pour le programme de récompense mis en place en juin 2013 pour, justement, mettre en lumière les brèches dans les murailles.
Internet Explorer 11 dans Windows 8.1
Jusqu'à 100 000 dollars pour contourner une protection
En juin de l’année dernière, Microsoft lançait un important programme de sécurité. Relativement certaine de ses capacités de défense, notamment au sein de Windows depuis Vista, elle annonçait récompenser jusqu’à 100 000 dollars tout chercheur qui serait en mesure d’établir la preuve que des mesures de protection pouvaient être contournées. Cela valait aussi bien pour l’ASLR (Adress Space Layout Randomization), une technique qui a d’abord fait son apparition dans Internet Explorer, que l’UAC (User Account Control).
Cette récompense de 100 000 dollars n’a été accordée qu’une seule fois, en octobre dernier, au chercheur James Forshaw. Il avait découvert une technique de contournement dans Windows 8.1 et Microsoft avait insisté notamment sur la qualité du rapport qui avait été remis. La firme avait par ailleurs précisé que les 100 000 dollars tenaient compte d’un certain nombre de variantes dans l’attaque, soulignées par l’auteur.
Une manière de gagner du temps
Pour la deuxième fois dans l’histoire de ce programme, Microsoft vient d’attribuer 100 000 dollars. Il s’agit d’un autre chercheur, Yu Yang, travaillant pour NSFOCUS Security Labs. La somme tient compte cette fois d’un lot de techniques de contournement qui concernent Windows 8.1, Internet Explorer 11 ou bien les deux, les détails n’ayant pas été fournis.
Si la somme peut paraître élevée, l’éditeur précise que ces rapports peuvent lui permettre de mieux cerner la manière dont des protections peuvent contournées (« mitigation bypass ») et donc de bloquer des classes entières d’attaques. Pour information, plusieurs récompenses ont déjà été offertes à différents chercheurs pour des rapports sur Internet Explorer 11, dont 1 100 dollars à Ivan Fratric de chez Google et 5 500 dollars à Jose Antonia Vasquez Gonzalez, de Yenteasy Research. Fermin J. Serma, également de chez Google, a pour sa part empoché 25 000 dollars.