Microsoft lance un Windows Bounty avec des récompenses qui vont jusqu'à 250 000 USD

Microsoft a annoncé hier le lancement d’un Windows Bounty avec des récompenses qui commencent à un minimum de 500 $ et peuvent aller jusqu'à 250 000 $.

Il faut rappeler que Microsoft dispose déjà de plusieurs programmes de récompenses pour les bogues/failles trouvés. Il ne s’agit pas là de son premier programme à cibler les fonctionnalités de Windows. Cependant, Windows Bounty englobe Windows 10, mais aussi toutes les fonctionnalités de la Windows Insider Preview, le programme de bêta test de Microsoft, en plus de se focaliser sur des domaines comme Hyper-V, Mitigation bypass, Windows Defender Application Guard et Microsoft Edge.

« Windows 10 représente le meilleur et le plus récent dans notre engagement envers la sécurité avec des atténuations de classe mondiale. L'une des stratégies de longue date de Microsoft visant à améliorer la sécurité des logiciels implique d'investir dans des technologies défensives qui rendent difficile et coûteux pour les attaquants de trouver et exploiter les vulnérabilités. Nous avons conçu des mesures d'atténuation et de défense telles que DEP, ASLR, CFG, CIG, ACG, Device Guard et Credential Guard pour renforcer nos systèmes et nous continuons à ajouter des défenses telles que Windows Defender Application Guard pour augmenter considérablement la protection pour renforcer les points d'entrée tout en nous assurant que l'expérience client demeure transparente », a noté Microsoft.

Voici les règles générales pour la participation au Windows Bounty :

• toute exécution de code à distance de classe critique ou importante, une élévation de privilèges ou des défauts de conception qui compromettent la confidentialité et la sécurité d'un client vont recevoir une prime ;
• le programme de primes est soutenu et continuera de l’être indéfiniment à la discrétion de Microsoft ;
• les récompenses vont de 500 à 250 000 USD ;
• si un chercheur rapporte une vulnérabilité admissible déjà trouvée en interne par Microsoft, un paiement sera effectué au premier chercheur au maximum de 10 pour cent du montant le plus élevé qu'ils auraient pu recevoir (par exemple : 1500 $ pour un RCE dans Edge, 25 000 $ pour un RCE dans Hyper-V) ;
• tous les bogues de sécurité sont importants pour nous et nous vous demandons de signaler tous les bogues de sécurité à secure@microsoft.com via une politique de divulgation de vulnérabilité (CVD) coordonnée.

Si vous êtes intéressé par le bonus maximum du quart de million de dollars, votre seule option est le programme Hyper-V, même si vous disposez de plusieurs systèmes d'exploitation parmi lesquels choisir : Windows 10, Windows Server 2012, Windows Server 2012 R2 et Windows Server Insider Preview. À noter également la plus haute récompense du programme Mitigation Bypass and Bounty est de 200 000 $, mais vous pouvez uniquement cibler Windows 10.

Le programme Windows Defender Application Guard quant à lui ne dépasse pas les 30 000 $, tandis que les deux autres, Microsoft Edge et Windows Insider Preview, sont majorés à 15 000 $. Ces trois nécessitent l'utilisation d’une version dans l’anneau lent de Windows Insider.

Facebook, Google et Microsoft offrent plusieurs programmes de primes de bogues. Ils ont récemment été rejoints par Apple qui a proposé à son tour un programme similaire. Il est toujours préférable de trouver et de corriger un bogue avant qu'il ne soit exploité, ce qui peut probablement expliquer la raison d’être de la multiplication de ce type d’initiative.

Source : Microsoft

Et vous ?

Qu'en pensez-vous ?