CERT-XMCO : tout le monde n’est pas prêt à payer pour des vulnérabilités
juillet 2010 par CERT-XMCO
- Date : 26 Juillet 2010
- Gravité : Très faible
- Description :
Il semblerait que la voie empruntée par Mozilla et Google ne soit pas la voie suivie par tous les éditeurs.
En particulier, Microsoft, par le biais du directeur du "Microsoft Security Research Center (MSRC)", a fait savoir qu’il ne prévoyait pas de payer les chercheurs en sécurité pour les vulnérabilités qu’ils pouvaient découvrir. En effet, d’après Mike Reavey, les primes ne seraient pas le meilleur moyen pour Microsoft de récompenser les chercheurs.
De même, d’après Jerry Bryant, "Senior Security Program Manager Lead" chez Microsoft, il y existe d’autres moyens pour valoriser les chercheurs découvrant des vulnérabilité. Celui-ci rappelle que Microsoft n’hésite pas à reconnaître la contribution des chercheurs dans ses bulletins du "Patch Tuesday". Il ajoute également que de nombreuses personnes influentes de la communauté des chercheurs ont été engagé par Microsoft pour rejoindre ses équipes de sécurité.
Néanmoins, Microsoft n’est pas la seule grosse entreprise refusant de payer pour des vulnérabilités. Apple, Adobe, et Oracle sont par exemple parmi ceux qui refusent également de rémunérer les chercheurs "à la vulnérabilité".
- Référence :
http://www.net-security.org/secworld.php?id=9630
http://www.networkworld.com/news/2010/072210-microsoft-no-money-for.html
http://www.zdnet.com/blog/security/microsoft-no-plans-to-pay-for-security-vulnerabilities/6935
- Lien extranet XMCO Partners :
http://xmcopartners.com/veille/client/index.xmco?nv=CXA-2010-0931