Bug Bounty : Microsoft double les primes
Et investit dans la lutte contre les failles de sécurité d’authentification

Avec leur popularité, certains produits de Microsoft tels que Windows font partie des plus ciblés par les pirates. Quelques jours après la sortie officielle de Windows 10, la firme de Redmond a donc saisi l’opportunité qui lui a été offerte à la conférence Black Hat des éthiques hackers pour présenter les nouveaux changements apportés à ses programmes Bug Bounty.

Au menu, Microsoft a ajouté un nouveau produit pour lequel les chercheurs en sécurité seront récompensés s’ils y trouvent des failles. La société a également annoncé des primes plus incitatives pour ces derniers, dans le cadre des programmes de récompenses existants.

Notons d’abord que RemoteApp est désormais couvert par le programme Online Services Bug Bounty de Microsoft. Ce programme vise à récompenser les hackers qui vont soumettre à la société des failles existantes dans ses services en ligne. RemoteApp permet en effet aux utilisateurs d’exécuter des applications Windows hébergées sur Azure, sur une variété de dispositifs.

L’ajout de RemoteApp aux produits couverts par les programmes Bug Bounty de Microsoft est venu avec des augmentations de primes pour les programmes existants. Microsoft estime que les idées de défense doivent être sur un pied d’égalité avec la découverte de failles. La société a donc augmenté la prime maximale pour le programme Bounty for Defense de 50.000$ à 100.000$.

Microsoft a aussi décidé de doubler les primes pour les bugs qui seront trouvés pendant une période de bonus allant du 5 Août au 5 Octobre 2015. Ces augmentations de primes s’appliquent aux vulnérabilités d’authentification trouvées dans les services de Microsoft couverts par le programme Online Services Bug Bounty.

La firme de Redmond veut en fait s’investir davantage dans la lutte contre les failles de sécurité dans ses systèmes d’authentification. Si un chercheur trouve alors une vulnérabilité d'authentification et la soumet à travers le programme Online Services Bug Bounty dans la période de bonus, sa récompense sera doublée. Autrement dit, les chercheurs en sécurité seront payés jusqu’à 30.000$ alors que la prime normale varie entre 500$ et 15.000$. Le bonus s’applique à toutes les vulnérabilités d'authentification Microsoft Service Account (MSA) et Azure Active Directory (AAD) découvertes pendant la période fixée.

Microsoft espère à travers ces changements inciter les chercheurs à s’investir davantage dans la recherche de failles logicielles dans ses produits, et ainsi contribuer à améliorer la sécurité de ses plateformes. Ces changements s’inscrivent dans un ensemble de programmes que la société a initiés pour renforcer la sécurité de ses produits et services.

Source : Microsoft

Et vous ?

Qu’en pensez-vous ?