Microsoft vient d’élargir son programme de bug bounty pour inclure d’autres services encore en développement qui seront dévoilés prochainement cette année. Le nouveau programme va se focaliser sur .Net Core et ASP .NET Core RC2, ainsi que toutes les builds associées qui seront livrées dans la période de validité du programme.
Pour rappel, un bug bounty est un programme en général lancé par des entreprises pour améliorer la sécurité de leurs produits et plateformes. L’idée est de récompenser les chercheurs en sécurité qui vont trouver des vulnérabilités dans leurs produits. Il s’agira ensuite de corriger ces failles de sécurité avant qu’elles ne soient exploitées par des acteurs malveillants. Les sociétés qui les pratiquent sont de plus en plus nombreuses. Et Microsoft en fait déjà partie.
À cet effet, Jason Stirk, Senior Director de Microsoft Security Response Center a affirmé que le nouveau programme va s’étendre sur la période allant du 7 juin au 7 septembre 2016 et les récompenses vont varier selon le degré de complexité des bogues rapportés. Microsoft a prévu des primes allant de 500 $ à 15 000 $, mais la somme pourrait augmenter si le bogue découvert est délicat et nécessite une attention particulière. Les plateformes supportées sont Windows, Mac OS X et Linux.
Les chercheurs intéressés par le programme doivent soumettre une vulnérabilité valide et jamais rapportée auparavant. Les failles de sécurité trouvées et qualifiées comme recevables par Microsoft peuvent être par exemple celles qui pourraient permettre l'exécution de code à distance, les lacunes de sécurité, les bugs d’escalade de privilège, les failles qui pourraient permettre un déni de service à distance (DoS), les fuites d’informations et les vulnérabilités de type Cross Site Scripting (XSS).
Il faut noter que Microsoft n’est pas à son premier programme bug bounty. En novembre 2013, la firme a initié les programmes Mitigation Bypass Bounty et Bounty for Defense afin de récompenser à hauteur de 100 000 dollars de nouvelles techniques d’exploitation et de défense vis-à-vis de la récente version de son système d’exploitation.
En septembre 2014, ce fut le programme Online Services Bug Bounty qui fut ouvert afin de récompenser les individus rapportant des failles éligibles sur ses services en ligne (O365 et Microsoft Azure).
Et en avril 2015, Microsoft a annoncé une extension au programme Online Services Bug Bounty afin d’inclure divers services d’Azure dans le programme et en a également profité pour lancer le programme Microsoft Edge Preview Bug Bounty.
Source : Microsoft
Et vous ?
Qu'en pensez-vous ?
Voir aussi
Forum sécurité
Microsoft étend son programme de bug bounty à .NET Core et ASP.NET RC2
La firme propose jusqu'à 15 000 dollars pour une faille découverte
Microsoft étend son programme de bug bounty à .NET Core et ASP.NET RC2
La firme propose jusqu'à 15 000 dollars pour une faille découverte
Le , par Coriolan
Une erreur dans cette actualité ? Signalez-nous-la !