La sécurité, ça peut rapporter
Depuis un certain temps déjà, les chercheurs en sécurité se plaignent de faire de l'assurance qualité gratuitement pour les éditeurs. Cependant, petit à petit, les mentalités sont en train d'évoluer. C'est le cas notamment chez les éditeurs de navigateur web où ce sujet est particulièrement sensible.
Récemment, la fondation Mozilla a décidé d'augmenter considérablement la prime versée à une personne découvrant une vulnérabilité dans son logiciel. Elle était de 500 $, elle est maintenant de 3000 $. Cette hausse concerne uniquement les failles jugées comme importantes ou critiques.
Google a emboité le pas de son concurrent et verse désormais jusqu'à 3133,7 $ pour une faille débusquée. Auparavant, la somme maximum proposée par le géant de l'internet était de 1337 $. Pour une faille mineure, Google reverse 500 $.
À ce jour, Apple n'a pas organisé de programme similaire pour Safari. Avant d'être rétribués, certains chercheurs en sécurité aimeraient sans doute déjà que la société californienne daigne leur répondre lorsqu'ils trouvent une vulnérabilité. C'est le cas notamment de Jeremiah Grossman qui attend toujours une réponse d'Apple suite à l'envoi de plusieurs courriels sur un problème de sécurité assez grave concernant Safari (lire : Safari : une grosse faille avec le remplissage automatique).
Récemment, la fondation Mozilla a décidé d'augmenter considérablement la prime versée à une personne découvrant une vulnérabilité dans son logiciel. Elle était de 500 $, elle est maintenant de 3000 $. Cette hausse concerne uniquement les failles jugées comme importantes ou critiques.
Google a emboité le pas de son concurrent et verse désormais jusqu'à 3133,7 $ pour une faille débusquée. Auparavant, la somme maximum proposée par le géant de l'internet était de 1337 $. Pour une faille mineure, Google reverse 500 $.
À ce jour, Apple n'a pas organisé de programme similaire pour Safari. Avant d'être rétribués, certains chercheurs en sécurité aimeraient sans doute déjà que la société californienne daigne leur répondre lorsqu'ils trouvent une vulnérabilité. C'est le cas notamment de Jeremiah Grossman qui attend toujours une réponse d'Apple suite à l'envoi de plusieurs courriels sur un problème de sécurité assez grave concernant Safari (lire : Safari : une grosse faille avec le remplissage automatique).
"Auparavant, la somme maximum proposée par le géant de l'internet était de 1337 $"
MDR les Leet :x
Tu me retires les mots de la bouche sebastiano :-D
(mais 3133,7 $ s'adresse toujours aux geeks)
Google n'a pas l'air d'aimer les chiffres rond... :D
De la somme ils retirent les frais d'envoi du chèque. Là, c'est le net, tous frais déduits. :)
"Les chercheurs en sécurité se plaignent de faire de l'assurance qualité gratuitement pour les éditeurs"...
Loin de moi l'idée que la sécurité n'est pas importante mais il faut tout de même noter que:
- Personne ne les "obligent" à rechercher les failles" de sécurité
- S'ils le font c'est parce que trouver de nouvelles failles (et de nouveaux virus) est très lucratif puisque ça justifie l'achat de leurs produits
- La sécurité c'est avant tout du business et une bonne part de celui-ci fonctionne parce que les gens ont peur - parfois à juste titre - des risques encourus... et au plus on en parle dans les média au plus ça fait marcher le business. D'où régulièrement des annonces fracassantes concernant la découvertes de nouvelles failles, etc... histoire de bien entretenir le climat d'insécurité.
- Ils aimeraient qu'Apple daigne leur répondre parce qu'en réalité ce qu'ils veulent surtout c'est "officialiser" les mises en garde qu'ils font régulièrement, ce qui les placerait dans une position très avantageuse.
- En conclusion je trouve que ces "chercheurs" en sécurité utilisent parfois des méthodes discutables et quelques observateurs ne sont pas loin de penser que certains virus n'auraient pas été découvert "par hasard"...
Pour une faille mineure, Apple vous réclame $500
Pour une faille majeure, Apple vous réclame $3000
Ok, je sors ^^ --->
@Yip : les 3133,7 $, c'est pas pour les geeks mais pour les eleet :-D
@ vphil6
Ou comment faire d'un apriori une vérité absolue.
Vous rassemblez tout d'abord les chercheurs en informatique fondamentale, les "chercheurs" R&D en entreprises et les "chercheurs" indépendants, bref difficile de s'y retrouver sans discerner qui que ce soit.
Pour les premiers j'aimerais savoir ce qu'on peut leur reprocher, pour les seconds effectivement certains créent les virus pour vendre leurs produits mais pour le coup il vaut mieux tapper sur les marketeux et commerciaux qui dirigent leurs entreprises, pour les troisième une simple référence dans les rapports de Cupertino à leurs noms permettrait sans rémunération d'avoir une référence sur le CV, ce qui ne coûte rien et est appréciable. Une sorte de simple remerciement en quelque sorte, histoire de rendre Cupertino au minimum poli dans les esprits.
Les rémunérations exposées dans l'article montre seulement que ces entreprises veulent proposer un autre modèle de sécurité que les deux existant à ce jour : le "full-disclosure" (GNU/Linux) et le "full-obscurity" (Windows), Apple est un mix bizare entre les deux. Ce nouveau positionnement a le mérite de contenter chaque partie (consommateur, chercheur et entreprise).
Google me fait marrer à sortir ce genre de montant ,ils ont le sens de l'humour c'est déjà çà :)
1337 $ haha :p
Google vous fait marrer avec ses 1337$, mais Apple fait pitié avec ses 0.00$