Le géant Nokia a-t-il accepté de payer pour connaître ses vulnérabilités ?

Le jeudi 21 août, Nokia a confirmé que sa plate-forme logicielle Series 40, très largement diffusée dans les téléphones mobiles, présente des vulnérabilités qui pourraient permettre l'installation et l'activation d'applications de manière furtive.

La société demeure cependant évasive sur le fait qu'elle ait ou non payé une somme de 20 000 € à l'expert en sécurité polonais Adam Gowdiak qui voulait le paiement des six mois d'efforts qu'il a consacré à trouver les défauts de cette gamme. L'expert n'a pas révélé s'il avait été payé mais a déclaré que seules les sociétés connues qui paieraient accéderont à totalité de l'étude, soit 180 pages et 14 000 lignes de code prouvant ses propos.

Nokia possède une copie complète de l'étude a déclaré Mark Durrant du service de communication de Nokia. L'attitude du leader mondial des mobiles pourrait raviver le débat parmi les professionnels de la sécurité, sur le fait que les fournisseurs récompensent les travaux de recherche volontaires sur les failles de leurs produits. Les vendeurs en général évitent de payer les chercheurs de vulnérabilités et encouragent ce qu'ils appellent « une divulgation responsable » ou une notification discrète avant que l'information sur la vulnérabilité ne soit rendue publique.

Les vendeurs ne veulent pas être à la merci des chasseurs de vulnérabilités, qui pourraient menacer de communiquer les informations à des hackers. « Il pourrait être très facile d'avoir l'idée de prendre une société en otage. La vérité est qu'il (NDLR : Adam Gowdiak)a effectué un travail de recherche significatif et il est clairement compréhensible qu'il veuille trouver un moyen de le monétiser, indique Mark Durrant.

. Web-profils.com, la place de marché du conseil et de l'ingénierie