Selon les chercheurs, ces modalités « mettent la pression sur l'éditeur et devraient l'inciter à corriger son produit, parce qu'un logiciel avec des vulnérabilités non corrigées change la perception de la sécurité du produit. » Mais il y a eu de belles réussites, comme l'a fait remarquer Aaron Portnoy. « Certaines équipes de sécurité nous ont remercié d'avoir rendu public un avis « Zero-Day» sur un de leurs produits, » a déclaré le chercheur. « Ils ont pu ensuite faire valoir auprès de l'éditeur qu'ils avaient besoin de davantage de ressources. »

Une orientation vers les systèmes SCADA privilégiée


Sur les 5 vulnérabilités divulguées le 7 février 2011 par ZDI concernant Office, Microsoft les a toutes corrigées dans les bulletins MS11-021, MS11-022 et MS11-023 livrés en avril 2011. ZDI avait communiqué ces vulnérabilités à Microsoft en trois fois, exactement le 30 juin, le 20 juillet et le 25 août 2010. De leurs côtés, IBM et HP n'ont jamais corrigé les 16 vulnérabilités, dont certaines rapportées par ZDI il y a deux, voire même trois ans, grâce au programme de primes et de collecte de bugs. Selon Aaron Portnoy et Derek Brown, la limite des six mois avant la divulgation des Zero-Days a fait de 2011 une année record. « Jusqu'à présent, en 2011, le vivier de chercheurs indépendants de TippingPoint a généré 350 rapports de vulnérabilité, en hausse de 16% par rapport aux 301 rapports émis en 2010, » a déclaré Derek Brown. « L'ultimatum de six mois a contribué à cette accroissement du nombre d'avis, » a ajouté M. Brown. « Parmi les bogues achetés cette année, nous avons remarqué une tendance intéressante avec beaucoup de vulnérabilités dans les systèmes de contrôle industriel SCADA ou «Supervisory Control and Data Acquisition» qui arrivent en tête de liste, » a déclaré ZDI.

Le programme a acquis six vulnérabilités SCADA en 2011, affectant un logiciel développé par General Electric, Honeywell et InduSoft. « Nous avons récolté quelques très sérieux bogues SCADA, » a déclaré Derek Brown. « Et jusqu'à présent, notre collaboration avec les éditeurs a été très productive. » ZDI n'a publié aucun avis Zero-Day pour les bugs SCADA collectés par le programme, et Aaron Portnoy a indiqué que TippingPoint n'a pas l'intention de rendre cette information publique dans le cas où le correctif tarderait à venir. Selon les chercheurs, l'intérêt pour les vulnérabilités SCADA date de l'an dernier, avec la découverte du ver Stuxnet, qui, d'après la plupart des experts, aurait été conçu pour saboter le programme nucléaire iranien et les installations chargées de l'enrichissement de l'uranium. Le ver serait parvenu à endommager les centrifugeuses d'une ou plusieurs installations. TippingPoint travaille avec l'ICS-CERT (Industrial Control Systems Cyber Emergency Response Team), une extension de l'US-CERT, elle-même rattachée au Département de la Sécurité Intérieur américain, afin de coordonner les informations qui remontent sur SCADA.

Dans une autre communication, Aaron Portnoy a confirmé que TippingPoint et ZDI seraient de nouveau les sponsors du concours de piratage Pwn2Own piratage prévu début mars 2012 au CanSecWest de Vancouver, Colombie-Britannique. Le chercheur et chef d'équipe a déclaré que ZDI va « monter la barre des enjeux » du concours en modifiant à la fois le mode de fonctionnement de la compétition et la valeur des prix attribués. Celui-ci a refusé d'en dire plus sur Pwn2Own 2012, mais a promis de fournir davantage d'informations aux chercheurs en début d'année prochaine.