VeriSign, par l’intermédiaire de sa branche iDefense Labs, vient de lancer un programme qui aurait de quoi attiser les polémiques si seulement les résultats risquaient de ne pas être aussi concrets. Le principe est assez simple : proposer des failles découvertes dans Vista et Internet Explorer 7 puis empocher une somme d’argent.

La somme dont il est question ? 8000 dollars, rien que ça. Et ce n’est pas fini : les 8000 dollars seront acquis si vous trouvez une faille de sécurité dans Vista ou Internet Explorer 7, mais iDefense Labs rajoutera entre 2000 et 4000 dollars pour une méthode d’exploitation rédigée par vos soins. Cette somme fluctuante dépendra de plusieurs critères comme la lisibilité de votre explication, sa qualité ou encore la documentation l’accompagnant.

Bien entendu, les 8000 dollars ne sont pas distribués à n’importe qui et n’importe comment. La précision la plus importante est sans doute que cette somme ne sera attribuée qu’aux six premières personnes à se manifester. Ensuite, il y a faille et faille. Les failles demandées doivent répondre aux critères définis par Microsoft comme étant critiques : exploitables à distance et utilisées pour exécuter un code arbitraire sans intervention de l’utilisateur. De telles failles, lorsqu’elles sont découvertes en avance, permettant souvent de créer des vers.

Voici la liste complète des conditions :

• La faille doit être utilisable à distance
• Elle doit permettre l’exécution d’un code à distance
• L’utilisateur ne doit pas intervenir
• La faille doit être bien entendu impérativement nouvelle
• La faille ne doit concerner que Vista ou Internet Explorer 7 : aucune autre version de Windows ou d’Internet Explorer n’est prise en compte
• Tous les patchs et correctifs existant pour Vista et Internet Explorer 7 doivent impérativement être installés
• Vista et Internet Explorer 7 doivent être en versions finales, les bêta et RC n'étant pas acceptées
• La faille ne doit recourir à aucune installation d'un produit tiers

Pourquoi un tel modèle de recherche de failles ? D’abord parce que l’appât du gain est un puissant moteur de motivation. Ensuite, les révélations de Trend Micro sur des enchères secrètes menées sur des failles de Vista à 50 000 dollars avaient clairement montré qu’il existait de puissants réseaux véhiculant les informations relatives aux failles de sécurité. Quand on parle de logiciels exerçant des parts de marché d’environ 90%, en particulier pour Windows, le pouvoir à gagner grâce aux parcs de machines zombies est potentiellement énorme.

Du côté de chez Microsoft, on est difficilement persuadé du bien-fondé de la technique employée par VeriSign. Un porte-parole de la firme a indiqué qu’il ne s’agissait pas de la meilleure manière pour des chercheurs en sécurité de protéger les utilisateurs. L’éditeur pense que la divulgation des informations après que la mise à jour ait été publiée est bien préférable, afin d’être sûr que personne n’est « blessé » durant la bagarre.

Nous verrons dans les semaines à venir si l’initiative de VeriSign porte ses fruits et à quel rythme les failles seront proposées. ll existera nécessairement de telles failles car aucun système n’est parfait, et Vista n’a pas encore affronté le public.