Découvrez des vulnérabilités, Microsoft vous paiera

Découvrez des vulnérabilités, Microsoft vous paiera

Jusqu’à présent, Microsoft ne donnait aucune prime pour la découverte de vulnérabilités dans ses logiciels et systèmes. La concurrence propose de rémunérer les personnes qui découvrent des failles. L’éditeur se met au diapason et va accorder des primes pour les failles qui lui seront signalées.

Publié le 24 septembre 2014 - 11:19 par François Giraud

Microsoft accordera désormais des primes pour les failles qui seront signalées. Office 365 est concerné par cette décision de l’éditeur qui s’aligne sur ce que propose la concurrence. Microsoft a, en effet, été longtemps contre le principe d’offrir une prime en contrepartie du signalement d’une faille de sécurité. Pour mieux sécuriser Windows 8.1, l’éditeur avait proposé trois programmes avec une rémunération pouvant atteindre 100 000 $ pour la découverte de failles au sein de ses produits, et va finalement proposer des primes pour la découverte de vulnérabilités au sein de ses solutions Cloud, dont Office 365 sera la première. Cette nouveauté a été baptisée « Online Services Bug Bounty« .

Des primes à partir de 500 $ avec Oneline Services Bug Bounty

Le programme Oneline Services Bug Bounty permet aux personnes qui trouvent une vulnérabilité sur des produits Microsoft d’obtenir une prime qui sera d’un montant minimum de 500 $ et pourra atteindre des sommes beaucoup plus importantes en fonction de l’impact de la vulnérabilité signalée. Les primes seront versées pour des failles significatives d’applications Web, trouvées dans les domaines de services en ligne. Parmi les failles qui seront primées, il il a celles qui concernent les défauts d’authentification, les exécutions de code au niveau des serveurs ou encore des problèmes traitant de la mauvaise configuration des systèmes de sécurité. Microsoft se réserve bien entendu le droit de rejeter toute soumission qui ne répondrait pas aux critères requis. Les divers types de vulnérabilités qui sont inclus et admissibles dans ce programme sont les suivants:

  • Cross Site Scripting (XSS)
  • Cross Site Request Forgery (CSRF)
  • Données non autorisées contre-locataires altération ou de l’accès (pour les services multi-locataires)
  • Références d’objet directs insécurité
  • Les failles d’injection
  • Les défauts d’authentification
  • L’exécution de code côté serveur
  • Privilege Escalation
  • Mauvaise configuration de sécurité importante
Advertisements

Ailleurs sur le web