Le ZDI (Zero Day Initiative) vient de publier les nouvelles modalités de participation à son prochain concours «P0wn20wn » qui a traditionnellement lieu début mars à l’occasion de la conférence de sécurité Canadienne CanSecWest.
Parmi les changements notables, trois points importants. En premier lieu, une très forte augmentation des primes offertes aux gagnants des concours, puisque la dotation totale dépasse le demi-million de dollar (US). En second lieu, le concours s’ouvre aux exploits satellites avec la création d’une section « plug-in pour I.E.9 sous Windows 7 » constituée de trois catégories : ◦Adobe Reader XI, Adobe Flash et Java.
Mais le point qui risque fortement de faire grincer quelques dents peut se lire en fin de communiqué : « les participants [gagnants] fourniront à HP-ZDI un exploit fonctionnel et tous les détails de la vulnérabilité exploitée durant l’attaque. Si de multiples vulnérabilités ont été mises en jeu pour permettre une exécution de programme, les détails sur l’ensemble des vulnérabilités en question (corruption mémoire, fuite d’information, augmentation de privilèges etc.) ainsi que l’ordre dans lequel elles sont été utilisées devront être fournis pour [que l’équipe gagnante puisse] recevoir le montant de la récompense »
On se rappelle le coup d’éclat de l’an passé provoqué par l’un des gagnants, le Français Vupen, qui avait refusé de révéler les secrets de cuisine qui lui avait permis de remporter l’épreuve. Pour Vupen, le montant de la prime est en deçà de ce que l’on peut attendre de la commercialisation de l’exploit fourni dans le cadre d’un logiciel de test de pénétration. En quelques années, les revendications des chercheurs en sécurité sont passées du « no more free bugs » au « non au CDD sous-payé de la recherche de faille »