Depuis quelques années déjà, Microsoft s’est prêté au jeu avec les spécialistes en sécurité informatique en développant son propre programme de recherches de failles pour une variété de ses services. Si depuis quelques mois déjà l’éditeur du système d’exploitation le plus utilisé sur ordinateur de bureau propose à des particuliers de tester la prochaine mouture de son logiciel, il allait donc de soi que l’un d’eux, son nouveau navigateur en l’occurrence, allait venir s’ajouter à la liste des logiciels susceptibles de faire remporter une cagnotte.
Comme pour les autres services, Microsoft a annoncé les règles de rémunération concernant la validité des découvertes de failles sur le Projet Spartan. Quatre types de vulnérabilités sont admis : l’exécution du code à distance dans le Projet Spartan, une vulnérabilité permettant de s’échapper du bac à sable dans le Mode de Protection Amélioré ou dans le Projet Spartan, des vulnérabilités importantes ou très sévères dans le Projet Spartan ou dans EdgeHTML.dll et enfin des vulnérabilités qui conduisent à une divulgation d’informations fiables sur l’allocation mémoire effectuée par ASLR dans le Projet Spartan ou dans EdgeHTML.dll
En 2013, un ingénieur de Google a été capable de trouver une vulnérabilité dans le navigateur Internet Explorer 11 et a pu empocher la coquette somme de 11 000 dollars. Bien que toutes les vulnérabilités découvertes dans cette mouture ne payent sans doute pas autant, les récompenses vont de 500 à 15 000 dollars et Microsoft se réserve le droit d’offrir des récompenses plus fortes en fonction de la qualité des entrées et de la complexité.
Le programme, qui a officiellement été lancé hier le 22 avril 2015, prendra fin le 22 juillet 2015. Aussi, les participants disposeront de trois mois pour tester le navigateur à la recherche de ces types de failles. Pour y participer, vous devez être âgé au minimum de 14 ans (et avoir la permission de vos parents ou tuteurs pour participer au programme dans le cas où vous êtes encore considérés comme mineurs dans votre pays de résidence), être un chercheur en sécurité participant pour votre propre compte, travailler dans une entreprise spécialisée dans la recherche en sécurité qui vous permette de vous présenter à votre compte. Dans le cas où vous êtes dans un pays sous embargo des Etats-Unis (comme Cuba, l’Iran, la Corée du Nord, le Soudan ou la Syrie), employé d’une filiale Microsoft ou un parent d’un employé Microsoft, un membre d’un personnel ou un vendeur d’une entreprise qui travaille avec Microsoft, une personne impliquée dans une quelconque partie de l’administration ou de l’exécution de ce programme ou une entité qui n’est pas une personne individuelle (par exemple les entreprises), vous ne pourrez pas y participer.
Source : TechNet
Le Projet Spartan agrandit la liste du Bug Bounty Program de Microsoft
Avec des récompenses allant de 500 à 15 000 dollars
Le Projet Spartan agrandit la liste du Bug Bounty Program de Microsoft
Avec des récompenses allant de 500 à 15 000 dollars
Le , par Stéphane le calme
Une erreur dans cette actualité ? Signalez-nous-la !