Microsoft a donné le top départ hier à un concours qui porte sur le développement de technologies de sécurité défensives couvrant les différentes classes de mécanismes d'attaques qui permettent de prendre le contrôle d'un ordinateur (en anglais : 'exploits'). Le vainqueur de cette compétition baptisée « BlueHat Prize » remportera 200 000 dollars. Le deuxième prix s'élève à 50 000 dollars. Un abonnement à MSDN Universal, d'une valeur de 10 000 dollars, est offert pour la troisième place.

Le total des sommes déboursées ainsi par Microsoft surpasse les campagnes de « bug bounty » lancées par ses rivaux pour récompenser les chasseurs de bugs. Google, par exemple, qui rémunère ceux qui le renseigne sur des failles dénichées dans Chrome, n'a encore dépensé que 110 000 dollars cette année. A ce rythme, il devrait avoir distribué près de 190 000 dollars en 2011. De son côté, Facebook, entré dans la danse cette semaine, promet 500 dollars par bug de sécurité, et davantage si la faille est plus importante.

Le défi lancé par Microsoft vise à titiller les méninges des experts pour quelque chose de plus ambitieux qu'un bug par ici ou une faille par là, soulignent nos confrères de Computerworld. « Nous voulons rendre plus difficile et plus coûteuse l'exploitation des vulnérabilités par les criminels, a déclaré Katie Moussouris, l'une des responsables de la sécurité chez Microsoft à l'occasion d'une conférence hier. « Nous voulons inviter les chercheurs à concentrer leur expertise sur les technologies défensives de sécurité ».

Pas de « bug bounty » prévu

Ce concours, qui prendra fin le 1er avril 2012, a été annoncé dans le cadre de la conférence de sécurité Black Hat qui se tient en ce moment à Las Vegas. Les gagnants seront dévoilés lors de la conférence Black Hat de l'an prochain. Katie Moussouris a expliqué que Microsoft rejetait l'idée d'un programme de récompenses pour les bugs trouvés. « De façon générale, il nous a semblé qu'englober l'ensemble des catégories [de mécanismes d'attaques] était la meilleure façon de s'engager avec la communauté de chercheurs et de protéger nos clients, a-t-elle indiqué à Computerworld. Katie Moussouris a cité des statistiques montrant pourquoi Microsoft n'avait pas besoin de programme de « bug bounty » similaire à celui mis en place par Google pour son navigateur Chrome ou que HP TippingPoint mène afin de récupérer des vulnérabilités sur de multiples systèmes d'exploitation, incluant Windows et Mac OS X, ou sur des applications de Microsoft ou d'autres éditeurs. Selon elle, 90% des chercheurs en sécurité qui communiquent des failles à Microsoft le font directement plutôt que de les soumettre à un intermédiaire tel que TippingPoint. 

Katie Moussouris ajoute que les récompenses versées -qui vont jusqu'à 3 000 dollars chez Google- n'ont rien à voir avec l'argent que l'on peut se faire en les vendant sur le marché noir. Andrew Storms, directeur des opérations de sécurité chez nCircle Security, est d'accord avec elle et considère que ce concours est une idée fabuleuse. « Historiquement, la plupart des bugs leur arrivent directement. Un système de récompenses ne serait donc pas la meilleure façon pour eux d'utiliser leur argent dans ces conditions », confirme-t-il. Il apprécie l'initiative de Microsoft. « Ils engagent ici un processus de réflexion prospective et apportent l'argent à l'appui », souligne Andrew Storms. Il estime qu'il s'agit de quelque chose de nouveau et de différent et que l'industrie de la sécurité a besoin de cela. « Nous sommes dans une sorte de cage de hamster en ce moment avec les bugs ».

La technologie licenciée sans royalties à Microsoft

Les détails du concours ont été publiés sur le site de Microsoft qui espère que les chercheurs vont  déboucher sur une technologie novatrice. Katie Moussouris a explique que les gagnants du concours BlueHat Prize conserveront la propriété intellectuelle de leur invention mais qu'ils devront la licencier à Microsoft sans royalties. Les dossiers éligibles devront fournir un prototype qui fonctionne sur Windows et qui sera développé à l'aide du Windows SDK. Ils seront examinés par un panel d'employés du Microsoft Security Response Center. « Microsoft sait qu'il y aura toujours des bugs dans son code, mais une technologie défensive à ajouter à ASLR et DEP [data execution prevention, une protection anti-exploit dans Windows] permettra d'éviter que ces bugs puissent être mis en oeuvre », ajoute Andrews Storms, de nCircle Security.

Néanmoins, il pourrait s'écouler des années avant que le concours ne porte ses fruits. Andrews Storms pense que la technologie pourrait apparaître dans Windows 9 ou peut-être dans une version d'Internet Explorer telle que IE 11 ou IE 12. « Windows 8 est déjà engagé sur son cycle de production » Peut-être que Microsoft pourra intégrer la technologie gagnante dans un service pack pour Windows 8, OS qui est attendu pour l'année prochaine. C'est une chose de trouver une idée et un prototype, « c'en est une autre de la mettre vraiment en oeuvre dans Windows », insiste Andrews Storms.