Microsoft lance un Windows Bounty avec des récompenses qui vont jusqu'à 250 000 USD
Pour la découverte de failles sur Windows 10

Le , par Stéphane le calme, Chroniqueur Actualités
Microsoft a annoncé hier le lancement d’un Windows Bounty avec des récompenses qui commencent à un minimum de 500 $ et peuvent aller jusqu'à 250 000 $.

Il faut rappeler que Microsoft dispose déjà de plusieurs programmes de récompenses pour les bogues/failles trouvés. Il ne s’agit pas là de son premier programme à cibler les fonctionnalités de Windows. Cependant, Windows Bounty englobe Windows 10, mais aussi toutes les fonctionnalités de la Windows Insider Preview, le programme de bêta test de Microsoft, en plus de se focaliser sur des domaines comme Hyper-V, Mitigation bypass, Windows Defender Application Guard et Microsoft Edge.

« Windows 10 représente le meilleur et le plus récent dans notre engagement envers la sécurité avec des atténuations de classe mondiale. L'une des stratégies de longue date de Microsoft visant à améliorer la sécurité des logiciels implique d'investir dans des technologies défensives qui rendent difficile et coûteux pour les attaquants de trouver et exploiter les vulnérabilités. Nous avons conçu des mesures d'atténuation et de défense telles que DEP, ASLR, CFG, CIG, ACG, Device Guard et Credential Guard pour renforcer nos systèmes et nous continuons à ajouter des défenses telles que Windows Defender Application Guard pour augmenter considérablement la protection pour renforcer les points d'entrée tout en nous assurant que l'expérience client demeure transparente », a noté Microsoft.

Voici les règles générales pour la participation au Windows Bounty :
  • toute exécution de code à distance de classe critique ou importante, une élévation de privilèges ou des défauts de conception qui compromettent la confidentialité et la sécurité d'un client vont recevoir une prime ;
  • le programme de primes est soutenu et continuera de l’être indéfiniment à la discrétion de Microsoft ;
  • les récompenses vont de 500 à 250 000 USD ;
  • si un chercheur rapporte une vulnérabilité admissible déjà trouvée en interne par Microsoft, un paiement sera effectué au premier chercheur au maximum de 10 pour cent du montant le plus élevé qu'ils auraient pu recevoir (par exemple : 1500 $ pour un RCE dans Edge, 25 000 $ pour un RCE dans Hyper-V) ;
  • tous les bogues de sécurité sont importants pour nous et nous vous demandons de signaler tous les bogues de sécurité à secure@microsoft.com via une politique de divulgation de vulnérabilité (CVD) coordonnée.


Si vous êtes intéressé par le bonus maximum du quart de million de dollars, votre seule option est le programme Hyper-V, même si vous disposez de plusieurs systèmes d'exploitation parmi lesquels choisir : Windows 10, Windows Server 2012, Windows Server 2012 R2 et Windows Server Insider Preview. À noter également la plus haute récompense du programme Mitigation Bypass and Bounty est de 200 000 $, mais vous pouvez uniquement cibler Windows 10.

Le programme Windows Defender Application Guard quant à lui ne dépasse pas les 30 000 $, tandis que les deux autres, Microsoft Edge et Windows Insider Preview, sont majorés à 15 000 $. Ces trois nécessitent l'utilisation d’une version dans l’anneau lent de Windows Insider.

Facebook, Google et Microsoft offrent plusieurs programmes de primes de bogues. Ils ont récemment été rejoints par Apple qui a proposé à son tour un programme similaire. Il est toujours préférable de trouver et de corriger un bogue avant qu'il ne soit exploité, ce qui peut probablement expliquer la raison d’être de la multiplication de ce type d’initiative.

Source : Microsoft

Et vous ?

Qu'en pensez-vous ?


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de andry.aime andry.aime - Rédacteur/Modérateur https://www.developpez.com
le 27/07/2017 à 12:46
Citation Envoyé par Stéphane le calme  Voir le message
Si un chercheur rapporte une vulnérabilité admissible déjà trouvée en interne par Microsoft, un paiement sera effectué au premier chercheur au maximum de 10 pour cent du montant le plus élevé qu'ils auraient pu recevoir (par exemple: 1 500 $ pour un RCE dans Edge, 25 000 $ pour un RCE Dans Hyper-V)

Juge et partie
Avatar de oudjira oudjira - Nouveau membre du Club https://www.developpez.com
le 04/08/2017 à 13:00
Comme ils n'arrive pas à trouver les failles pour leurs systeme il faut maintenant payer les gens h.dans queleques années qui arrivent ils vont laissés open source sinon tout le monde vers GNU/Linux
Offres d'emploi IT
CONSULTANT SHAREPOINT
AS INTERNATIONAL GROUP - Ile de France - Paris (75000)
Nous développons le
tegminis data science - Ile de France - Paris
Data Ingénieur F/H
Zenika - Pays de la Loire - Nantes (44000)

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil