Si vous pensiez que la récente récompense de 12 500 dollars donnée par le géant social Facebook à un “white hat”, le hacker Arul Kumar, avait de quoi enthousiasmer cette initiative, détrompez-vous. Microsoft vient de remettre près de 10 fois la somme – 100 000 dollars – à un expert qui a trouvé des failles de sécurité dans le système d’exploitation de la firme de Redmond.
Reuters signale qu’il s’agit là de l’une des plus importantes primes encore attribuées pour un tel travail.
Le destinataire de ce juteux paiement est un certain James Forshaw, un chercheur en sécurité informatique australien de la société Context Information Security basée à Londres. Le génie de l’informatique a été récompensé pour la découverte d’une nouvelle technique d’exploitation en sous Windows qui va aider le géant technologique à gérer sa sécurité à plusieurs niveaux et “développer des défenses contre des catégories entières d’attaque”, écrit Katie Moussouris, stratège de la sécurité au Microsoft Security Response Center.
Moussouris a remercié Forshaw et cinq autres personnes “pour le compte de plus d’un milliard de clients” pour leur contribution au programme qui depuis juin a invité les chercheurs à l’informer des vulnérabilités dans les logiciels Microsoft.
Forshaw est déjà connu de la société – le géant de l’informatique lui a récemment décerné un prix plus modeste de 9 400 dollars après avoir attirer l’attention sur plusieurs vulnérabilités dans une pré-version d’Internet Explorer 11.
Selon un black Hat, Forshaw est “impliqué avec le matériel informatique et les logiciels de sécurité depuis près de 10 ans, avec un ensemble de compétences qui couvre la globalité de l’industrie de la sécurité tels que les tests des applications, par le biais de l’évaluation des produits plus personnalisée, et l’analyse de vulnérabilité et d’exploitation”.
Les récompenses financières versées par les entreprises de haute technologie aux chercheurs qui identifient les failles de sécurité sont devenues une partie importante du développement de logiciels. Google, par exemple, a versé près de 600 000 dollars depuis 2010 pour soi-disant des pirates « éthiques » qui ont trouvé des failles de sécurité dans ses outils en ligne. Mozilla a distribué un montant similaire, tandis que Facebook gère un programme nommé Bug Bounty offrant des paiements en espèces.
C’est vraiment tentant ce genre de défi ! Y avez-vous déjà participé ?
