Sécurité : Vendre une faille 0-day pour 20 000$

Ce 18.01.2008

Une société de recherche en sécurité informatique offre la coquette somme de 20 000 dollars pour toute information au sujet de vulnérabilités non divulguées affectant l'OS Windows.

Digital Armaments, société sur laquelle il est bien difficile d'obtenir des informations, organise jusqu'au 29 février un concours avec à la clé la somme de 20 000 dollars. Pour pourvoir prétendre à cette prime non négligeable, tout hacker ou chercheur en sécurité informatique animé d'un esprit pécuniaire, est convié à faire part de ses découvertes au sujet de vulnérabilités 0-day affectant Windows. Le travail devra être soigné avec documentation à l'appui et fourniture d'un code exploit.

Certes, un léger doute existe sur la véracité des dires de Digital Armaments. Toutefois, ce n'est pas la première fois qu'une société s'adonne à ce genre de concours avec une telle somme mise en jeu.


Début 2007 par exemple, iDefense, filiale de Verisign, proposait de 8 000 à 12 000 dollars à toute personne apportant des informations fiables sur les six premières vulnérabilités exploitables à distance, identifiées dans les fraîchement sortis Windows Vista et Internet Explorer 7. Dans un registre légèrement différent, la société suisse WabiSabiLabi lançait l'été dernier un site d'enchères pour les vulnérabilités 0-day et peut-être plus inquiétant, des agences gouvernementales n'hésitent pas à proposer des sommes folles pour en acheter.

Si ce petit trafic n'est pas illégal, d'un point de vue moral, c'est sans doute une autre histoire. En tout cas, il semble surtout profiter à son instigateur dans une optique marketing. Au même titre que le full-disclosure, à savoir la publication de l'ensemble des informations techniques relatives à une faille, la question n'a pas fini de faire débat.