Microsoft vient de révéler avoir accordé 13,7 millions de dollars à des chercheurs en sécurité pour avoir signalé des bogues dans ses logiciels depuis juillet de l'année dernière. En effet, entre le 1er juillet 2019 et le 30 juin 2020, Microsoft a reçu 1226 rapports de vulnérabilité éligibles et a récompensé 327 chercheurs en sécurité sur six continents via 15 programmes de « bug bounty ». Sa plus grosse récompense au cours de cette période a totalisé 200 000 dollars. Les primes de Microsoft pour mener la chasse aux bogues sont l’une des principales sources de financement pour les chercheurs qui recherchent des défauts dans les logiciels et, surtout, qui les signalent au fournisseur concerné plutôt que de les vendre à des cybercriminels via des marchés clandestins ou à des courtiers qui les distribuent ensuite aux agences gouvernementales. Ce chiffre est le triple des 4,4 millions de dollars qu’elle a accordé au cours de la même période l’année précédente. Cependant, les membres du Microsoft Security Response Center dans un billet de blog ont déclaré que : « Les chercheurs en sécurité sont une composante vitale de l’écosystème de cybersécurité qui protège toutes les facettes de la vie numérique et du commerce », ajoutant que : « Les chercheurs qui consacrent du temps à découvrir et à signaler les problèmes de sécurité avant que les adversaires ne puissent les exploiter ont gagné notre respect et notre gratitude ».
Rappelons qu'un « bug bounty » est une récompense qu’une entreprise propose à qui trouvera une faille dans la sécurité de leur système informatique. Il s’inscrit dans le cadre d'un programme au périmètre déterminé par l’entreprise. Mais en général, le chercheur qui découvre une vulnérabilité ne doit bien entendu en aucun cas l’exploiter à des fins malveillantes et parfois proposer une solution pour la combler. En effet, avant la création des programmes « bug bounty », les tests de hacking étaient organisés par des prestataires d’audit de sécurité ou effectués directement en interne par le service informatique des entreprises.
Malheureusement, dans ce dernier cas, les équipes en charge de ces tests sont souvent les personnes responsables de la mise en place de ces solutions de sécurité. Ils n’ont donc pas le recul nécessaire pour pouvoir confronter leurs systèmes. Le « bug bounty » permet non seulement de multiplier le nombre de chercheurs travaillant sur le sujet, mais aussi de soumettre son produit à des compétences de hacking variées et diversifiées, 24h sur 24, 7 jours sur 7, permettant donc de passer d’une logique de moyens à une logique de résultats, d’un diagnostic ponctuel à un audit continu qui peut s’interrompre et reprendre à tout moment et dont on peut modifier le périmètre de recherche à volonté.
L'augmentation des primes octroyées par Microsoft dans le cadre des programmes de « bugs bounties » pourrait être justifiée, par les nouvelles données publiées par l'équipe de sécurité de Google, à savoir Google Project Zero ou GPZ. En effet, Google Project Zero a révélé pendant la semaine du 3 août 2020, qu'il y a eu 11 vulnérabilités de type « zero-day » (vulnérabilité informatique n'ayant fait l'objet d'aucune publication ou n'ayant aucun correctif connu. L'existence d'une telle faille sur un produit informatique implique qu'aucune protection n'existe, qu'elle soit palliative ou définitive) exploitées au cours du premier semestre de l'année.
La découverte de ces failles de sécurités est assez rare. Néanmoins, Microsoft a corrigé 115 vulnérabilités au cours du seul mois de mars, parmi lesquelles l'on peut relever la vulnérabilité décelée au niveau de l'exécution à distance des codes Microsoft Edge PDF (CVE-2020-1096). Et les trois autres bogues de corruption de la mémoire de Windows qui ont été malheureusement exploités avant que les correctifs de Microsoft ne soient publiés.
En outre, cette augmentation s’explique également par le développement de nouveaux programmes par Microsoft. La société affiche 15 « bugs bounties » et en a ouvert 6 dans la période écoulée, qui ont permis de collecter plus de 1 000 rapports en provenance de plus de 300 chercheurs. Certains visent à dénicher des failles dans Dynamics 365, Azure Security Lab, Edge sous Chromium, Azure Sphere et même dans Xbox.
Et bien sûr, la société a souligné que la pandémie de coronavirus pouvait être perçue comme un possible accélérateur : « En plus des nouveaux programmes de primes, la pandémie de COVID-19 semble avoir eu un impact sur l’activité des chercheurs en sécurité. Dans l’ensemble de nos 15 programmes de primes, nous avons constaté un fort engagement des chercheurs et un volume de rapports plus élevé au cours des premiers mois de la pandémie », a déclaré Jarek Stanley, responsable du programme de Microsoft Security Response Center.
Les programmes de « bug bounty » lancé par Microsoft pendant cette période sont :
- le programme Microsoft Dynamics 365 Bounty lancé en juillet 2019 ;
- le programme Azure Security Lab lancé en août 2019 ;
- le programme Microsoft Edge on Chromium Bounty lancé en août 2019 ;
- le programme Xbox Bounty lancé en janvier 2020 ;
- le programme de recherche sur la sécurité d'Azure Sphere lancé en mai 2020.
Nonobstant ce qui précède, Microsoft refuse de divulguer combien il a déboursé jusqu'à ce jour : « Notre programme Bug Bounty a démarré il y a sept ans dans le but de protéger davantage nos milliards de clients alors que les menaces de sécurité continuaient d’évoluer », a déclaré à VentureBeat, Jarek Stanley : « Nous ne pouvons pas divulguer le nombre exact de paiements depuis le début du programme de récompenses ».
À première vue, août peut sembler un moment étrange pour partager une mise à jour du programme de primes aux bogues. Mais le timing du calendrier n’est pas du tout dû au hasard. En effet le Black Hat États-Unis 2020, la conférence sur la sécurité a commencé ce 6 aout 2020. Microsoft compte ainsi y défendre son approche holistique de la sécurité des clients via l'inclusion de la grande communauté de chercheurs en sécurité qui travaillent dans ses programmes de primes aux bogues.
Source : Microsoft Security Response Center
Et vous ?
Que pensez-vous du « bug bounty » ? Qu'est-ce qui selon vous peut expliquer de cette augmentation de « bug bounty » au sein de Microsoft ?Voir aussi
Bug Bounty : Microsoft récompense jusqu'à 15 000 dollars, la découverte de failles sur les versions bêtas de .Net CoreCLR et d'ASP.NET 5 Bug bounty : après le Pentagone, l'US Air Force invite à son tour les experts en sécurité à tester ses systèmes via la plateforme HackerOne L'Union européenne augmente le budget alloué à sa sécurité informatique et met en place un programme de chasse aux bogues