Les défaillances de Meltdown et de Spectre ont ébranlé le marché de la technologie, affectant presque tous les processeurs fabriqués au cours des deux dernières décennies. Les grandes entreprises ont pris des mesures pour éviter que l’histoire ne se répète : Intel offre jusqu’à 250 000 euros à quiconque trouve des vulnérabilités similaires, et Microsoft a annoncé jeudi (15) qu’elle ferait de même.
Le programme de récompenses de Microsoft s’étend jusqu’au 31 décembre 2018 et verse jusqu’à 250 000 euros aux chercheurs qui trouvent les failles les plus graves, c’est-à-dire des catégories entièrement nouvelles d’attaques spéculatives d’exécution. Les chasseurs d’insectes qui peuvent contourner les mesures d’atténuation de Windows ou d’Azure peuvent empocher jusqu’à 200 000 euros.
L’exécution spéculative est une ressource présente dans presque tous les processeurs modernes. Pour accélérer les performances, les puces tentent de deviner quel code sera exécuté ensuite. Si la prédiction est fausse, le résultat est écarté ; si elle est juste, il y a un gain de temps. Cependant, le Spectre peut inciter un processeur à effectuer une opération “devinée” qui ne serait pas effectuée dans des conditions normales, par une fuite d’informations.
Microsoft explique que “l’exécution spéculative est vraiment une nouvelle classe de vulnérabilité, et nous pensons que des recherches sont déjà en cours pour explorer de nouvelles méthodes d’attaque”. Par conséquent, le programme vise à ?promouvoir ces recherches et à permettre la divulgation coordonnée des vulnérabilités liées à ces questions.
Tous les détails sur le programme de récompenses pour les attaques spéculatives d’exécution se trouvent sur le site web de Microsoft.