Bug Bounty : Microsoft récompense jusqu'à 15 000 dollars,
La découverte de failles sur les versions bêtas de .Net CoreCLR et d'ASP.NET 5

Le , par Olivier Famien, Chroniqueur Actualités
Microsoft vient de lancer un nouveau programme de récompense pour la découverte de vulnérabilités affectant .Net Core CLR et les versions bêta d'ASP.NET 5 sorties avec Visual Studio 2015 et tournant sur Windows, Linux et Mac OS.

Pour être éligible, il faut être âgé d’au moins 14 ans, participer pour son propre compte ou travailler pour une organisation qui vous permette de postuler et enfin ne pas tomber dans les critères d’inéligibilité.

Une fois toutes ces conditions remplies, le participant peut soumettre ses vulnérabilités découvertes et non encore rapportées sur la toute dernière version bêta ou RC de Microsoft CoreCLR, ASP.NET et les templates ASP.NET 5 par défaut fournis avec ASP.NET Web Tools extension pour Visual Studio 2015.

Les bogues trouvés et qualifiés comme recevables par Microsoft peuvent être par exemple des contournements de protection CSRF (Cross-Site Request Forger) ou simplement l’exploitation d’une vulnérabilité sur les services d’authentification web, des contournements d’authentification, l’exécution de code distant, les échecs de protection des données, des fuites d’informations, des élévations de privilège, etc.

Une fois les bogues trouvés, le requérant doit produire une preuve de concept pour chaque vulnérabilité signalée à Microsoft. En retour, Microsoft s’engage à payer un montant allant de 500 dollars à 15 000 dollars selon la complexité de la faille rapportée.

Le montant le plus élevé est réservé aux vulnérabilités permettant l’exécution de code à distance accompagnées d’un rapport de haute qualité décrivant l’exécution du code malveillant. Au bas de l’échelle, nous avons la faille de type Cross Site Scripting (XSS) ou CSRF qui doit être accompagnée d’un rapport de qualité basse afin que l’auteur de la découverte puisse bénéficier d’un montant minimum de 500 dollars.

Microsoft souligne par ailleurs « qu’il n’y a pas de restrictions sur le nombre de candidatures qualifiées qu’un émetteur individuel peut fournir et être payé en retour ». En outre, toutes les personnes qui remporteront des récompenses dans ce programme Bug Bonty verront leur nom être affiché sur la page de Microsoft Bounty Honor Roll en guise de reconnaissance.

Il faut noter que Microsoft n’est pas à son premier programme Bug Bounty. En novembre 2013, la firme a initié les programmes Mitigation Bypass Bounty et the Bounty for Defense afin de récompenser à hauteur de 100 000 dollars de nouvelles techniques d’exploitation et de défense vis-à-vis de la récente version de son système d’exploitation.

En septembre 2014, ce fut le programme Online Services Bug Bounty qui fut ouvert afin de récompenser les individus rapportant des failles éligibles sur Online Services (O365 et Microsoft Azure).

Et en avril 2015, Microsoft a annoncé une extension au programme Online Services Bug Bounty afin d’inclure diverses propriétés d’Azure dans le programme et en a également profité pour lancer le programme Microsoft Edge Preview Bug Bounty.

Pour ce qui concerne ce nouveau Bug Bounty CoreCLR et ASP.NET 5 Technical Preview, il a démarré depuis le 20 octobre et prendra fin le 20 janvier de l’an prochain.

Source : Microsoft

Et vous ?

Que pensez-vous de ce programme ?

Voir aussi

Forum sécurité


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de Olivier Famien Olivier Famien - Chroniqueur Actualités https://www.developpez.com
le 05/09/2016 à 1:52
Bug Bounty : Microsoft étend son programme à .NET Core et ASP.NET Core
et offre jusqu’à 15 000 dollars pour les failles découvertes

Pour assurer la sécurité de leurs applications et systèmes, les entreprises s’entourent de divers moyens de protection. Nombreuses sont celles qui classiquement engagent en leur sein des personnes ressources afin d’assurer cette veille contre les tiers malveillants.

D’autres pour leur part préfèrent externaliser ce domaine en le confiant à des entreprises tierces beaucoup plus outillées afin d’assurer leur cybersécurité. D’autres encore, estimant qu’on n’est jamais de trop lorsqu’il s’agit d’expertise en matière de sécurité, n’hésitent pas en plus des moyens internes déjà existants, à mettre en place des programmes de récompenses afin d’amener les experts en sécurité et autres intelligences à les aider dans leur combat contre les failles de sécurité.

Microsoft qui n’est pas en reste dans ce domaine a depuis longtemps mis en place plusieurs programmes de récompenses de failles découvertes (Microsoft Bounty Programs) pour assurer la sécurité des programmes tels qu’Internet Explorer, Microsoft Edge, la préversion de Nano Server et bien plus encore.

Dans le souci d’améliorer la sécurité de ses nouveaux produits, Microsoft vient d’annoncer depuis le 1er septembre dernier l’ouverture d’un nouveau programme de récompenses de failles découvertes pour .Net Core et ASP.NET Core.

Nous rappelons que .Net Core est une plateforme open source modulaire permettant de créer des applications web, des microservices, des bibliothèques et des applications console. ASP.Net Core quant à lui est un framework web open source utilisé pour concevoir des applications web capables de fonctionner aussi bien sur Windows, Linux et Mac OS X. Ces deux produits sont sortis en version finale dans le mois de juillet dernier.

Aussi, pour garantir une meilleure détection des failles, Microsoft offre des primes allant de 500 dollars à 15 000 dollars pour la découverte de failles importantes ou critiques dans les versions finales de ces deux produits ainsi que les versions bêta ou RC.

Par ailleurs, les failles découvertes dans le nouveau serveur web multiplate-forme Kestrel basé sur libuv ainsi que dans les templates par défaut d’ASP.Net fournis avec les extensions d’outils web d’ASP.Net pour Visual Studio 2015 ou supérieur sont également prises en compte dans ce programme de bug bounty.

Il faut noter que ce programme de rétribution de failles découvertes qui a débuté depuis le 1er septembre concerne les versions Windows et Linux d’ASP.NET et .Net Core. Aucune date limite n’a été communiquée. Il est donc ouvert jusqu’à ce que Microsoft fasse un communiqué pour marquer sa fin. Nous précisons en outre que plusieurs autres programmes de récompenses de failles sont en cours sans aucune date limite. Nous avons par exemple les programmes de bug bounty pour Office 365, Microsoft Azure et Microsoft Edge.

Source : Blog Microsoft

Et vous ?

Quelle est votre opinion sur ce genre de programmes ?

Voir aussi

Bug Bounty : Microsoft récompense jusqu'à 15 000 dollars la découverte de failles sur les versions bêtas de .Net CoreCLR et d'ASP.NET 5
Offres d'emploi IT
Développeur Java J2EE pour le compte d'une Gde institution europénne
EKXEL IT Services & Financial Engineering - Luxembourg - Luxembourg
Leader technique / Chef de projet technique JAVA - H/F
Synchrone - Pays de la Loire - Nantes (44000)
Développeur Front End F/H
Zenika - Pays de la Loire - Nantes (44000)

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil