
C’est notamment le cas de Google avec son programme de récompenses des chasseurs de vulnérabilités amorcé en novembre 2010, ou encore de Facebook qui avait suivi l’exemple avec son programme White Hat.
Microsoft avait aussi rejoint l’aventure en mettant Windows 8.1 et IE 11 à l’épreuve des hackers il y a plus d’un an lors de la conférence Black Hat, en offrant des primes pouvant aller jusqu’à 100 000 dollars en cas de découverte et d’exploitation d’une vulnérabilité dans ses produits.
Microsoft récidive et dévoile un nouveau programme de récompenses sur la découverte des bogues, qui couvre un large éventail de ses services en ligne. Ce programme concerne les failles découvertes sur les services Office 365 (outlook.com, sharepoint.com, lync.com, yammer.com, etc.).
Les soumissions admissibles concernent les failles XSS (Cross Site Scripting), CSRF (Cross Site Request Forgery), les attaques par injection, les défauts d’authentification, l’exécution du code côté serveur, l’escalade des privilèges, etc. Le montant des primes varie en fonction de la sévérité de la faille. Le minimum pouvant être perçu par un chercheur en sécurité est de 500 dollars.
Microsoft a également listé les failles qui ne sont pas admissibles dans ce programme. Il s’agit notamment des redirections d’URL, des bugs dans l’application qui n’affectent que les navigateurs et des plugins non pris en charge, des vulnérabilités Cookie replay et bien plus. La liste complète est disponible dans le billet de blog de la firme.
Le programme de récompense de Microsoft a été mis en place à la demande de ses clients et fait partie des efforts continus de l’entreprise pour approfondir ses relations avec la communauté des chercheurs en sécurité.
Par ailleurs, ce programme permettra à la société de rapidement combler les failles de ses services en ligne et de mettre l’utilisateur final à l’abri des attaques. Il faut noter que le marché des vulnérabilités est assez controversé. Plusieurs experts en sécurité préfèrent garder le secret sur les failles qu’ils découvrent pour les vendre au plus offrant sur le marché noir.
Source : Microsoft
Et vous ?

