Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Microsoft : 100 000 dollars de récompense pour avoir contourné une protection

Cherchez bien, ça paye

Microsoft : 100 000 dollars de récompense pour avoir contourné une protection

Le 17 février 2014 à 17h10

Vendredi dernier, un chercheur en sécurité a remporté la somme de 100 000 dollars en exposant à Microsoft les détails de plusieurs contournements de mesures de protections. Cette somme représente le maximum possible pour le programme de récompense mis en place en juin 2013 pour,  justement, mettre en lumière les brèches dans les murailles.

ie11

Internet Explorer 11 dans Windows 8.1

Jusqu'à 100 000 dollars pour contourner une protection 

En juin de l’année dernière, Microsoft lançait un important programme de sécurité. Relativement certaine de ses capacités de défense, notamment au sein de Windows depuis Vista, elle annonçait récompenser jusqu’à 100 000 dollars tout chercheur qui serait en mesure d’établir la preuve que des mesures de protection pouvaient être contournées. Cela valait aussi bien pour l’ASLR (Adress Space Layout Randomization), une technique qui a d’abord fait son apparition dans Internet Explorer, que l’UAC (User Account Control).

 

Cette récompense de 100 000 dollars n’a été accordée qu’une seule fois, en octobre dernier, au chercheur James Forshaw. Il avait découvert une technique de contournement dans Windows 8.1 et Microsoft avait insisté notamment sur la qualité du rapport qui avait été remis. La firme avait par ailleurs précisé que les 100 000 dollars tenaient compte d’un certain nombre de variantes dans l’attaque, soulignées par l’auteur.

Une manière de gagner du temps 

Pour la deuxième fois dans l’histoire de ce programme, Microsoft vient d’attribuer 100 000 dollars. Il s’agit d’un autre chercheur, Yu Yang, travaillant pour NSFOCUS Security Labs. La somme tient compte cette fois d’un lot de techniques de contournement qui concernent Windows 8.1, Internet Explorer 11 ou bien les deux, les détails n’ayant pas été fournis.

 

Si la somme peut paraître élevée, l’éditeur précise que ces rapports peuvent lui permettre de mieux cerner la manière dont des protections peuvent contournées (« mitigation bypass ») et donc de bloquer des classes entières d’attaques. Pour information, plusieurs récompenses ont déjà été offertes à différents chercheurs pour des rapports sur Internet Explorer 11, dont 1 100 dollars à Ivan Fratric de chez Google et 5 500 dollars à Jose Antonia Vasquez Gonzalez, de Yenteasy Research. Fermin J. Serma, également de chez Google, a pour sa part empoché 25 000 dollars.

Commentaires (17)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Ça peut servir à payer les condamnations ?

<img data-src=" />

votre avatar

Le gouvernement devrait faire pareil pour ses sites publics.



(non, ne répondez pas que ça le ruinerait <img data-src=" /> )

votre avatar



ces rapports peuvent lui permettre de mieux cerner la manière dont des protections peuvent contournées (« mitigation bypass ») et donc de bloquer des classes entières d’attaques.





Donc…



malgré les recodages/colmatages de ces 15 dernières années, il existe encore des “classes entières d’attaques” qui contournent les protections de Windows.

votre avatar



Si la somme peut paraître élevée,



Eut égard à ce que gagne certains dev de jeux casual affligeant, tt bien considéré je trouve cette somme honnête pour un chercheurs en sécu qui s’est cassé la tête à mettre en évidence les failles. Et puis 100000€, c’est rien pour MS surtout si cela peut améliorer son image quant à la sécurité de win<img data-src=" />

votre avatar







127.0.0.1 a écrit :



Donc…



malgré les recodages/colmatages de ces 15 dernières années, il existe encore des “classes entières d’attaques” qui contournent les protections de Windows.







Une faille peut être exploitée de plusieurs façons. Donc oui il existe des des classes entière d’attaque qui peuvent exploiter des failles.



Tout comme il existe des failles dans Linux ou des logiciels libres qui sont découvertes et corrigées parfois des années après que le code ait été écrit et plusieurs changement de versions du logiciel.



Surtout que les mises en oeuvres de sécurité comme l’ASLR sont assez standard et se retrouvent partout.


votre avatar







fred42 a écrit :



Ça peut servir à payer les condamnations ?

<img data-src=" />







Ces mecs ne sont pas condamnés, ils ne font rien d’illégal.


votre avatar







dam1605 a écrit :



Ces mecs ne sont pas condamnés, ils ne font rien d’illégal.





Je le sais. Je pensais à un Français qui a des soucis avec la justice à cause de gogleuh.


votre avatar

100 000 USD je ne trouve pas cela énorme compte tenu des enjeux. Il me semble que ce que des sociétés comme Microsoft ou Google payent bien moins que ce que le marché noir propose pour ces failles (=les gouvernements / la NSA / différents groupes tipiak…).



Visiblement certains gagnent mieux leur vie que cela ! (Source :http://korben.info/interview-black-hat.html )


votre avatar

Pirate récompensé <img data-src=" /><img data-src=" />

votre avatar







Flogik a écrit :



100 000 USD je ne trouve pas cela énorme compte tenu des enjeux. Il me semble que ce que des sociétés comme Microsoft ou Google payent bien moins que ce que le marché noir propose pour ces failles (=les gouvernements / la NSA / différents groupes tipiak…).



Visiblement certains gagnent mieux leur vie que cela ! (Source :http://korben.info/interview-black-hat.html )





Certes c’est pas énorme, mais ça reste quand même très honnête et ça permet à celui qui a trouvé la faille d’être moins tenté de basculer du “coté obscur”


votre avatar







Flogik a écrit :



100 000 USD je ne trouve pas cela énorme compte tenu des enjeux. Il me semble que ce que des sociétés comme Microsoft ou Google payent bien moins que ce que le marché noir propose pour ces failles (=les gouvernements / la NSA / différents groupes tipiak…).







(Attention ceci n’est pas un troll) C’est toujours plus que ce qu’offre la communauté linuxienne pour tout ceux détectant et corrigeant des vulnérabilités. Alors qu’ils pourraient vendre les infos qu’ils trouvent sur le marché noir et se faire masse de thunes.

Mais apparemment, pour certains, c’est incroyablement dur de croire que des gens veulent réellement participer à l’amélioration de la sécurité des logiciels propriétaire.



Et sinon, 100,000$ c’est environ l’équivalent d’un an de salaire pour un “Expert”.

Je pense pas que ça soit peu.





Visiblement certains gagnent mieux leur vie que cela ! (Source :http://korben.info/interview-black-hat.html )



votre avatar







Jed08 a écrit :



Une faille peut être exploitée de plusieurs façons. Donc oui il existe des des classes entière d’attaque qui peuvent exploiter des failles.







hum… même faille exploitée, mais exploitation différente (virus, trojan, copie, effacement, …) –&gt; ce sont des “variantes” (comme précisé dans le news).



Pour moi, “Classe d’attaque” ca veut dire même vecteur d’attaque =&gt; un même composant “fragile” est attaqué afin d’y trouver des failles différentes (ASLR, UAC, …).


votre avatar

Sacré coup de sword nocturne !

votre avatar

Moi ça m’avait rapporté 50€ la faille qui permettait de lire les factures d’autres clients sur un site d’achat. <img data-src=" />

votre avatar

Le plus gros soucis de Microsoft avec Internet Explorer, c’est cette idée complètement absurde de ne pas mettre à disposition les dernières version de IE aux utilisateurs d’anciennes versions de windows…

votre avatar

La sword a été généreuse mais bizarrement je ne suis pas étonné.

Dès qu’une news rassemble les mots “faille” et “windows”, les trolls de bas étage se ramènent.



Sinon effectivement 100.000$ correspondant, comme dit précédemment, à un an de salaire d’un expert en sécurité (fourchette basse certe), je trouve cela plutôt juste.

votre avatar







Flogik a écrit :



100 000 USD je ne trouve pas cela énorme compte tenu des enjeux. Il me semble que ce que des sociétés comme Microsoft ou Google payent bien moins que ce que le marché noir propose pour ces failles (=les gouvernements / la NSA / différents groupes tipiak…).



Visiblement certains gagnent mieux leur vie que cela ! (Source :http://korben.info/interview-black-hat.html )





Merci pour le lien, interview très intéressante !


Microsoft : 100 000 dollars de récompense pour avoir contourné une protection

  • Jusqu'à 100 000 dollars pour contourner une protection 

  • Une manière de gagner du temps 

Fermer