Microsoft lance son programme de récompense des hackers
Pour la découverte des failles dans ses services en ligne
Le 2014-09-24 11:18:19, par Hinault Romaric, Responsable .NET
La découverte des failles de sécurité dans les logiciels demande du temps, de l’énergie et des ressources aux chercheurs en sécurité. Pour les motiver, certains géants de l’IT ont mis sur pied des programmes de récompenses pour les failles qui sont signalées dans leurs applications.
C’est notamment le cas de Google avec son programme de récompenses des chasseurs de vulnérabilités amorcé en novembre 2010, ou encore de Facebook qui avait suivi l’exemple avec son programme White Hat.
Microsoft avait aussi rejoint l’aventure en mettant Windows 8.1 et IE 11 à l’épreuve des hackers il y a plus d’un an lors de la conférence Black Hat, en offrant des primes pouvant aller jusqu’à 100 000 dollars en cas de découverte et d’exploitation d’une vulnérabilité dans ses produits.
Microsoft récidive et dévoile un nouveau programme de récompenses sur la découverte des bogues, qui couvre un large éventail de ses services en ligne. Ce programme concerne les failles découvertes sur les services Office 365 (outlook.com, sharepoint.com, lync.com, yammer.com, etc.).
Les soumissions admissibles concernent les failles XSS (Cross Site Scripting), CSRF (Cross Site Request Forgery), les attaques par injection, les défauts d’authentification, l’exécution du code côté serveur, l’escalade des privilèges, etc. Le montant des primes varie en fonction de la sévérité de la faille. Le minimum pouvant être perçu par un chercheur en sécurité est de 500 dollars.
Microsoft a également listé les failles qui ne sont pas admissibles dans ce programme. Il s’agit notamment des redirections d’URL, des bugs dans l’application qui n’affectent que les navigateurs et des plugins non pris en charge, des vulnérabilités Cookie replay et bien plus. La liste complète est disponible dans le billet de blog de la firme.
Le programme de récompense de Microsoft a été mis en place à la demande de ses clients et fait partie des efforts continus de l’entreprise pour approfondir ses relations avec la communauté des chercheurs en sécurité.
Par ailleurs, ce programme permettra à la société de rapidement combler les failles de ses services en ligne et de mettre l’utilisateur final à l’abri des attaques. Il faut noter que le marché des vulnérabilités est assez controversé. Plusieurs experts en sécurité préfèrent garder le secret sur les failles qu’ils découvrent pour les vendre au plus offrant sur le marché noir.
Source : Microsoft
Et vous ?
Pensez-vous que c’est une bonne idée ?
Que pensez-vous des chercheurs en sécurité qui préfèrent vendre les failles au plus offrant ?
C’est notamment le cas de Google avec son programme de récompenses des chasseurs de vulnérabilités amorcé en novembre 2010, ou encore de Facebook qui avait suivi l’exemple avec son programme White Hat.
Microsoft avait aussi rejoint l’aventure en mettant Windows 8.1 et IE 11 à l’épreuve des hackers il y a plus d’un an lors de la conférence Black Hat, en offrant des primes pouvant aller jusqu’à 100 000 dollars en cas de découverte et d’exploitation d’une vulnérabilité dans ses produits.
Microsoft récidive et dévoile un nouveau programme de récompenses sur la découverte des bogues, qui couvre un large éventail de ses services en ligne. Ce programme concerne les failles découvertes sur les services Office 365 (outlook.com, sharepoint.com, lync.com, yammer.com, etc.).
Les soumissions admissibles concernent les failles XSS (Cross Site Scripting), CSRF (Cross Site Request Forgery), les attaques par injection, les défauts d’authentification, l’exécution du code côté serveur, l’escalade des privilèges, etc. Le montant des primes varie en fonction de la sévérité de la faille. Le minimum pouvant être perçu par un chercheur en sécurité est de 500 dollars.
Microsoft a également listé les failles qui ne sont pas admissibles dans ce programme. Il s’agit notamment des redirections d’URL, des bugs dans l’application qui n’affectent que les navigateurs et des plugins non pris en charge, des vulnérabilités Cookie replay et bien plus. La liste complète est disponible dans le billet de blog de la firme.
Le programme de récompense de Microsoft a été mis en place à la demande de ses clients et fait partie des efforts continus de l’entreprise pour approfondir ses relations avec la communauté des chercheurs en sécurité.
Par ailleurs, ce programme permettra à la société de rapidement combler les failles de ses services en ligne et de mettre l’utilisateur final à l’abri des attaques. Il faut noter que le marché des vulnérabilités est assez controversé. Plusieurs experts en sécurité préfèrent garder le secret sur les failles qu’ils découvrent pour les vendre au plus offrant sur le marché noir.
Source : Microsoft
Et vous ?
-
@imikado: Quand on pense que d'autre entreprise prefere envoyer des avocats plutôt qu'un chèque, alors on va pas chipoter, ca va dans le bon sens.
Surtout que des audit, ils doivent en faire, mais les surdoués ne sont pas toujours à porté de main et ne travail pas tous dans les boites d'auditsle 24/09/2014 à 12:17 -
imikadoRédacteurPensez-vous que c’est une bonne idée ?
Oui et non: depuis des années, on peut payer des audits de sécurités de nos applications web ou lourde, là ils demandent à tout le monde de faire se travail en payant pour les failles découvertes.
Pourquoi ne pas faire comme tout le monde et faire ces audits de sécurité, plutôt que de faire un coup de communication comme celui-ci ?le 24/09/2014 à 11:55 -
benjani13Membre extrêmement actifIl faut noter que le marché des vulnérabilités est assez controversé. Plusieurs experts en sécurité préfèrent garder le secret sur les failles qu’ils découvrent pour les vendre au plus offrant sur le marché noir.
C'est cool que ce genre de programme se démocratise (en espérant un jour avoir les compétences pour y participer^^).le 24/09/2014 à 11:55 -
benjani13Membre extrêmement actifOutre le fait qu'effectivement ça leur permet de faire de l'audit à bas coup (sont pas fou), certes c'est de la communication mais si ça permet à l'avenir de changer la vision des entreprises sur la sécurité je suis pour.
Comme le dit VBrice, le constat aujourd'hui est que si tu signale une faille tu as plus de chance de finir devant un tribunal que devant un mot de remerciement.le 24/09/2014 à 13:00 -
imikadoRédacteurQuand je lis:
Les soumissions admissibles concernent les failles XSS (Cross Site Scripting), CSRF (Cross Site Request Forgery), les attaques par injection, les défauts d’authentification, l’exécution du code cité serveur, l’escalade des privilèges, etc. Le montant des primes varie en fonction de la sévérité de la faille.
*dépendant du nombre de pages à tester.le 24/09/2014 à 14:01 -
imikadoRédacteurMais je suis d'accord que c'est bien d'indiquer que pour une faille trouvée et comuniquée, la société n'attaquera pasle 24/09/2014 à 14:03
-
marsupialExpert éminentle 25/09/2014 à 4:36
-
MATKILLEUR14Nouveau Candidat au ClubBonjour apres une communication avec le service Xbox il m'on envoyer ici enfin de vous expliquez la faille et toucher une récompense.
La faille est situer dans le système d'achat des jeux xbox one. Pour plus de détail merci de me contacter.
Bonne soiréele 18/11/2016 à 16:10