Microsoft offre 100'000 dollars pour se faire pirater

Ces dernières heures, les pirates informatiques de monde entier ont commencé à fourbir leurs armes. Microsoft vient en effet de proposer un chèque de 100’000 dollars à celui ou ceux qui réussiront à contourner tous les pare-feu de son système Azure Sphere, fonctionnant avec le système d’exploitation Linux. Dès le 1er juin, les 50 petits génies qui auront été sélectionnés par le géant américain (dépôt possible de candidatures jusqu’au 15 mai) auront trois mois pour remplir leur mission et prouver qu’à ce jour rien n’est vraiment inviolable.

Si cette manière de faire appel à des pirates peut surprendre d’un premier abord, en réalité, elle est bien plus courante que ce que l’on peut penser. Depuis bientôt trente ans, de telles méthodes sont en effet utilisées par les géants informatiques comme Apple, Microsoft, Google ou encore Netflix et Facebook. Baptisés «Bug Bounty», ces programmes ont l’avantage de pouvoir identifier les failles sécuritaires d’un système informatique dans un environnement contrôlé et donc sans danger réel pour l’entreprise attaquée.

«Faire participer la communauté de chercheurs en sécurité à la recherche de vulnérabilités avant que les pirates ne le fassent fait partie de l’approche holistique adoptée par Azure Sphere pour réduire les risques», explique sur son blog Sylvie Liu. Cette dernière, en charge du programme de sécurité au Microsoft Security Response Center, rajoute que des sociétés spécialisées dans la cybersécurité, comme Avira, McAfee ou Bit Defender, s’ajouteront aux indépendants pour arriver à une défense encore plus aboutie.

Montant peu concurrentiel

Étant donné que tous pratiquent la même approche, une question se pose: les 100’000 dollars mis en jeu par Microsoft sont-ils vraiment alléchants? En comparant avec les récompenses versées par Google durant les douze derniers mois, son attrait est à relativiser. En 2019, le géant de Mountain View a en effet déboursé un total de 1,5 million à la centaine de pirates ayant réussi à identifier des failles dans Android. Son plus gros chèque indiquait même le montant exact de 161’337 dollars, soit largement plus que ce que propose Microsoft.

Les récompenses ont même tendance à s’envoler aux États-Unis, puisque Google a prévu une prime exceptionnelle pour cette année d’un million de dollars. Elle sera versée à celui qui parviendra à compromettre la puce de sécurité Titan M de sa nouvelle gamme de smartphone Pixel.

Pratique adoptée en Suisse

La Suisse n’est pas restée sourde à cette manière d’être proactive dans la défense de ses infrastructures informatiques. Il y a un peu plus d’un an, La Poste avait par exemple soumis son système de vote électronique à la sagacité de plus de deux mille pirates.

Sur le plan pécuniaire par contre, les indemnités financières restent moins séduisantes chez nous, avec des compensations ne dépassant pas les 50’000 dollars. Cela n’a pas empêché La Poste d’attirer des pirates suisses mais également étrangers. En plus des Français et des Américains, des Indiens, des Turcs ainsi que des Ukrainiens s’étaient attaqués à son système.

Créé: 08.05.2020, 19h29

monchange.ch