Comme d’habitude, Vupen a littéralement trusté les premières places lors du concours annuel Pwn20wn, empochant au passage la bagatelle de 400 000 dollars de prix. Une panoplie de 11 « zero day » exploitant I.E. 11, Adobe Reader XI, Chrome, Flash et Firefox sur un Windows 8 64-bits. Et, comme pour faire oublier la polémique de l’an passé, la nature technique de ces ZDE a été communiquée à chacun des éditeurs concernés. Ce geste ne vaut peut-être pas le million de dollars évoqué en 2012, mais il en approche au moins la moitié.
eWeek revient sur cet évènement avec un éclairage qui sort de l’ordinaire. L’article, signé Sean Michael Kerner, met l’accent sur les sommes mises en jeu et le montant total des primes à la découverte offertes par le Zero Day Initiative de Hewlett Packard, ex-Tipping Point : un total de 850 000 dollars de primes, une moyenne de 50 000 dollars par bug Firefox durant l’évènement, chiffre à comparer à la récompense de 3000 dollars octroyée par la Mozilla Fondation en temps normal. Et l’auteur de faire remarquer que le nombre de failles Firefox découvertes chaque année n’a fait que croître depuis que le concours a donné un peu de sel à la compétition entre chercheurs. Le principe du « no more free bug » semble être désormais acquis. Reste à savoir si cette surenchère occasionnelle ne va pas faire grimper les tarifs au cours du marché noir ou gris et assécher le flot des signalisations des défauts donnant droit aux « bug bounty » des éditeurs.
