Et le juste prix est de…0x41414141 !

La société iDefense, récemment passée sous le giron de Verisign, possédait jusqu'à aujourd’hui le monopole du très controversé « business » de la vulnérabilité. À travers son programme VCP (Vulnerability Contribution Program), iDefense rémunère les chercheurs qui, en échange de quelques deniers, cèdent leurs découvertes à l’entreprise de Reston. Mais iDefense va devoir faire face à un concurrent de taille et tout à fait inattendu…

En effet, la société 3Com, à travers sa filiale TippingPoint, vient d’annoncer le lancement d’un programme similaire baptisé le « ZDI » (Zero Day Initiative) et profite de la conférence Blackhat Briefings, qui se tient en ce moment à Las Vegas, pour enrôler un certain nombre d’experts et de chercheurs.

La contre-attaque de iDefense, qui souhaite garder la main sur ce marché, ne s’est pas faite attendre. L’entreprise annonce qu’elle a tout simplement décidé de doubler les primes reversées aux contributeurs. Ainsi, un chercheur livrant une information pertinente sur une vulnérabilité critique pourrait toucher la somme de 10.000 dollars.

À titre d’exemple, un exploit « proof of concept » permettant l’exécution de code arbitraire à travers une faille affectant Internet Explorer, le butineur de Microsoft, pourrait valoir pas moins de 6.000 dollars. Une somme suffisante pour motiver plus d’un chercheur à passer des nuits entières en compagnie de GDB*.

Quoi qu’il en soit, sur un plan purement commercial et financier, la méthode n’est pas inintéressante. Plutôt qu’embaucher à temps plein une brochette d’experts hors de prix, les deux entreprises misent sur les chercheurs du dimanche tout aussi compétents pour faire valoir leur positionnement très en amont dans la sécurité des systèmes d’information.