Infos

Des bâtons dans les roues pour les vendeurs de bogues

Le programme de Microsoft lancé l’année dernière pour la détection de bogues dans le but d’encourager les chercheurs à développer de nouvelles techniques de protection active et passive est une réussite et la société planche sur des possibilités d’extension de celui-ci à l’avenir. Katie Moussouris, la spécialiste en stratégies de sécurité chez Microsoft qui est à l’origine de ce programme, a déclaré qu’un de ses principaux objectifs était bel et bien récompenser les chercheurs pour les innovations introduites, sans oublier toutefois la perturbation du marché des vulnérabilités.

Katie Moussouris a travaillé sur le programme pendant un certain temps avant de pouvoir le lancer l’année dernière. Elle avait du étudier non seulement le fonctionnement d’autres programmes similaires, mais également la dynamique du marché légitime des vulnérabilités. Pendant des années, les acheteurs et les vendeurs de vulnérabilités ont opéré dans l’ombre, mais cette situation a changé au cours des deux dernières années dans la mesure où des sociétés comme VUPEN et d’autres ont transformé la vente de bogues en une activité florissante. Les produits de Microsoft sont toujours en tête de liste chez les attaquants et les chercheurs en sécurité et Katie Moussouris souhaitait trouver une méthode pour que les techniques d’attaques tombent dans les mains de Microsoft et non pas dans celles de courtiers en vulnérabilités ou d’attaquants.

"Nous n’allons jamais devancer le marché noir. Le but ici est d’utiliser les leviers existants pour perturber l’économie des vulnérabilités" a expliqué Katie Moussouris ce lundi lors du Kaspersky Security Analyst Summit.

Avant, les options des chercheurs en sécurité pour gagner de l’argent grâce à leur travaux sur les vulnérabilités étaient limitées, mais aujourd’hui le choix est beaucoup plus vaste. En fonction de leurs contacts et d’autres facteurs, les chercheurs peuvent revendre les bogues à des organismes gouvernementaux, à des sous-traitants dans le secteur de la Défense ou à des tiers. Les programmes de récompense pour la détection de bogues sont une autre option, bien que beaucoup moins intéressante sur le plan financier. Microsoft a souhaité rendre cette option plus attrayante en offrant des récompenses pouvant atteindre 100 000 dollars américains pour des techniques d’attaque novatrices qui peuvent contourner les mesures de lutte contre les codes d’exploitation dans la version la plus récente de Windows. La société a déjà versé une récompense et récemment, elle a décidé d’autoriser la participation d’équipes d’enquête et des personnes qui réagissent aux incidents.

Durant son intervention, Katie Moussouris a laissé entendre qu’il existait d’autres possibilités d’expansion du programme, mais elle n’a pas fourni de détails.

Elle a ajouté que le nombre de chercheurs capables de trouver les techniques de contournement qui justifieraient le versement d’une récompense est restreint et le nombre d’individus parmi ceux-ci qui sont disposés à transmettre les informations à Microsoft est encore plus réduit.

"Il existe peut-être seulement un millier de personnes à travers le monde qui pourraient réaliser ce travail et parmi celles-ci, une petite centaine serait prête à travailler avec Microsoft" a précisé Katie Moussouris.

La vente de codes d’exploitation et une éventuelle réglementation du marché sont deux thèmes qui ont fortement animé les spécialistes de la sécurité. Mais pour Katie Moussouris, cela serait une erreur.

"Je dis aux gouvernements que je ne souhaite aucune réglementation sur les codes d’exploitation car cela m’empêcherait de voir ce qui se passe. La seule manière de découvrir les nouvelles attaques serait alors après qu’elles ont touché les clients." a déclaré Katie Moussouris.

http://threatpost.com/bugging-the-bug-market/104150

Des bâtons dans les roues pour les vendeurs de bogues

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Rapports

Etude des menaces mobiles en 2016

En 2016, l’augmentation du nombre de trojans publicitaires qui peuvent utiliser les autorisations root s’est maintenue. Sur l’ensemble de l’année, cette menace n’a jamais quitté la tête du classement et rien n’indique que cette tendance va changer pour l’instant.

Spam en 2016

Les flux de spam ont enregistré plusieurs modifications en 2016. La plus marquante d’entre elles a été l’augmentation de la diffusion de ransomwares. Etant donné la disponibilité de ce genre de malware sur le marché noir, il faut s’attendre à ce que cette tendance se maintienne et le volume de spam malveillant va certainement se maintenir en 2017.

Kaspersky Security Bulletin 2016. Rétrospective de l’année. Statistiques globales de l’année 2016

Les tensions et les remous ont été au rendez-vous dans le cyberespace en 2016, depuis les gigantesques réseaux de zombies de l’Internet des objets jusqu’aux campagnes de cyberespionnage ciblées en passant par le vol d’argent, l’hacktivisme et autres pratiques. La rétrospective et les statistiques présentées par Kaspersky Lab fournissent un compte-rendu détaillé. La synthèse, quant à elle, est accessible ici.

Kaspersky Security Bulletin 2016. La révolution du ransomware

De janvier à septembre 2016, les attaques de ransomwares contre des entreprises ont triplé, avec une attaque toutes les 40 secondes. Vu l’explosion des activités du secteur du ransomware en tant que service et le lancement du project NoMoreRansom, Kaspersky Lab a désigné le ransomware comme problématique clé en 2016.

Abonnez-vous à nos emails hebdomadaires

La recherche la plus excitante dans votre boîte de réception