AMD refuse de payer une prime de 10 000 dollars pour une faille critique

AMD est au cœur d'une controverse après avoir refusé de payer la prime promise à un chercheur en sécurité qui a découvert une faille critique dans son système de mise à jour automatique des pilotes. L'expert a trouvé une vulnérabilité permettant l'exécution de code à distance (RCE) via une attaque "Man In The Middle" (MITM). C'est ce que rapporte Ixbt.com .

Le MITM est un type d'attaque où un cybercriminel intercepte secrètement la communication entre deux appareils sur un réseau. Le chercheur a signalé ce bug via le programme officiel de prime aux bugs d'AMD et s'attendait au paiement de 10 000 dollars prévu pour les vulnérabilités de niveau RCE.

Cependant, l'entreprise a rejeté la demande, arguant que les scénarios MITM ne sont pas couverts par sa politique de paiement. Malgré cela, AMD a reconnu le problème et a commencé à travailler sur un correctif. Il a fallu 124 jours à l'entreprise pour corriger entièrement la vulnérabilité.

Il s'est avéré que le processus de correction a été retardé à plusieurs reprises et que l'ampleur du problème était plus vaste que prévu initialement. Bien que le chercheur ait accepté un accord de non-divulgation et supprimé temporairement son article sur le bug, il n'a finalement reçu aucune compensation.