La compétition « BlueHat Prize » qui a débuté en août 2011, offre 200 000 dollars au premier et 50 000 pour le second, alors que le troisième se voit offrir un abonnement au réseau de développeur de Microsoft. Les 3 lauréats seront invités à Las Vegas pour l'annonce des résultats à la conférence Black Hat du 21 au 24 juillet prochain.

Microsoft a rassemblé 20 contributions  à la date butoir du 1er avril, a déclaré Katie Moussouris, responsable sécurité chez Microsoft, sur le blog de l'entreprise. Ce prix ne s'apparente aux programmes de chasse aux bugs organisés par d'autres sociétés comme Google. Il a été conçu pour que des chercheurs puissent trouver des technologies pour protéger Windows de certaines classes de bug mémoire. L'année dernière, certains experts estimaient que la firme de Redmond était à la recherche d'une parade contre la faille ROP (return-oriented programming). Cette dernière pouvait être utilisée par les pirates pour contourner les technologies de sécurité présentes dans Windows comme l'ASLR (Address Space Layout Randomization).

Technologies sous licence libre de droit

Tous les participants au concours conserveront les droits de propriété intellectuelle de leur travail, mais s'engagent à concéder leur technologie à Microsoft sur une base de licence libre de droits. Ce système est un moyen économique pour Microsoft d'acquérir de l'innovation en matière de sécurité. « C'est une façon de ne pas payer quelqu'un cher pour innover » souligne Andrew Storms, responsable sécurité chez nCircle Security et d'ajouter,« Google et d'autres payent pour connaître des failles, Microsoft préfère financer quelqu'un qui va réparer la faille ou s'en protéger ». Au début de la compétition, Andrew Storms a expliqué que les projets gagnants pourraient à terme se retrouver dans un pack de sécurité prévu l'année prochaine avec le déploiement de Windows 8.

Les participants au concours ont dû fournir un fichier (max 2 Mo) fonctionnant sous Windows et réaliser avec le SDK de l'OS. Le jury sera composé de salariés de Microsoft Security Response Center, organe spécialisé sur la sécurité de l'éditeur. Katie Moussouris a expliqué que sur l'ensemble des dossiers reçus (20), seulement 10 avaient dépassé les attentes. Le profil des prétendants sont diverses, chercheurs en sécurité, universitaires, etc.