Des bâtons dans les roues pour les vendeurs de bogues

Le programme de Microsoft lancé l’année dernière pour la détection de bogues dans le but d’encourager les chercheurs à développer de nouvelles techniques de protection active et passive est une réussite et la société planche sur des possibilités d’extension de celui-ci à l’avenir. Katie Moussouris, la spécialiste en stratégies de sécurité chez Microsoft qui est à l’origine de ce programme, a déclaré qu’un de ses principaux objectifs était bel et bien récompenser les chercheurs pour les innovations introduites, sans oublier toutefois la perturbation du marché des vulnérabilités.

Katie Moussouris a travaillé sur le programme pendant un certain temps avant de pouvoir le lancer l’année dernière. Elle avait du étudier non seulement le fonctionnement d’autres programmes similaires, mais également la dynamique du marché légitime des vulnérabilités. Pendant des années, les acheteurs et les vendeurs de vulnérabilités ont opéré dans l’ombre, mais cette situation a changé au cours des deux dernières années dans la mesure où des sociétés comme VUPEN et d’autres ont transformé la vente de bogues en une activité florissante. Les produits de Microsoft sont toujours en tête de liste chez les attaquants et les chercheurs en sécurité et Katie Moussouris souhaitait trouver une méthode pour que les techniques d’attaques tombent dans les mains de Microsoft et non pas dans celles de courtiers en vulnérabilités ou d’attaquants.

"Nous n’allons jamais devancer le marché noir. Le but ici est d’utiliser les leviers existants pour perturber l’économie des vulnérabilités" a expliqué Katie Moussouris ce lundi lors du Kaspersky Security Analyst Summit.

Avant, les options des chercheurs en sécurité pour gagner de l’argent grâce à leur travaux sur les vulnérabilités étaient limitées, mais aujourd’hui le choix est beaucoup plus vaste. En fonction de leurs contacts et d’autres facteurs, les chercheurs peuvent revendre les bogues à des organismes gouvernementaux, à des sous-traitants dans le secteur de la Défense ou à des tiers. Les programmes de récompense pour la détection de bogues sont une autre option, bien que beaucoup moins intéressante sur le plan financier. Microsoft a souhaité rendre cette option plus attrayante en offrant des récompenses pouvant atteindre 100 000 dollars américains pour des techniques d’attaque novatrices qui peuvent contourner les mesures de lutte contre les codes d’exploitation dans la version la plus récente de Windows. La société a déjà versé une récompense et récemment, elle a décidé d’autoriser la participation d’équipes d’enquête et des personnes qui réagissent aux incidents.

Durant son intervention, Katie Moussouris a laissé entendre qu’il existait d’autres possibilités d’expansion du programme, mais elle n’a pas fourni de détails.

Elle a ajouté que le nombre de chercheurs capables de trouver les techniques de contournement qui justifieraient le versement d’une récompense est restreint et le nombre d’individus parmi ceux-ci qui sont disposés à transmettre les informations à Microsoft est encore plus réduit.

"Il existe peut-être seulement un millier de personnes à travers le monde qui pourraient réaliser ce travail et parmi celles-ci, une petite centaine serait prête à travailler avec Microsoft" a précisé Katie Moussouris.

La vente de codes d’exploitation et une éventuelle réglementation du marché sont deux thèmes qui ont fortement animé les spécialistes de la sécurité. Mais pour Katie Moussouris, cela serait une erreur.

"Je dis aux gouvernements que je ne souhaite aucune réglementation sur les codes d’exploitation car cela m’empêcherait de voir ce qui se passe. La seule manière de découvrir les nouvelles attaques serait alors après qu’elles ont touché les clients." a déclaré Katie Moussouris.

http://threatpost.com/bugging-the-bug-market/104150

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *