Microsoft Bounty Programs Expansion : L’exécution de code distant sur Edge mis à l’épreuve,
avec une récompense pouvant aller jusqu'à 15 000 dollars

Microsoft poursuit ses efforts pour améliorer la sécurité de ses produits avec les programmes nationaux de détection de bogues par des chercheurs. La société ajoute aujourd’hui un nouveau nom sur la liste des applications que les chercheurs en sécurité sont appelés à mettre à l’épreuve pour y découvrir d’éventuels bogues ou failles de sécurité en échange d’une récompense en cas de réussite à pirater ou à exploiter un bogue sur le logiciel.

Il faut dire que Microsoft n’hésite pas à mettre les gros moyens pour améliorer la sécurité de son navigateur Edge. En effet, la firme de Redmond déclare être prête à mettre jusqu'à 15 000 dollars sur la table pour toute personne qui réussirait à mettre en évidence une vulnérabilité liée à l’exécution de code distant sur Edge dans le programme Windows Insider. La compagnie a prévu une récompense même pour les participants à ce programme qui découvriraient des bogues déjà connus en interne chez Microsoft. Le montant de cette récompense est tout de même plus modeste et s’élève à seulement 1500 dollars. Cependant, pour obtenir cette récompense sur un bogue connu en interne chez Microsoft, il faut que la vulnérabilité soit reproductible sur la dernière version du logiciel disponible dans le programme Windows Insider. Autrement dit, ceux qui découvrent des failles déjà connues ne peuvent pas s’attendre à un paiement si cette dernière n’est pas reproductible.

Ce programme pour traquer les vulnérabilités liées à l’exécution de code distant sur Edge a été lancé par Microsoft le 4 aout dernier et se poursuivra jusqu’au 15 mai 2017, déclare la compagnie dans un billet de blog. Il concerne également, en plus de Microsoft Edge, les sections open source de Chakra, le moteur qui alimente le navigateur. Microsoft ajoute que cette collaboration avec la communauté des chercheurs en sécurité se justifie par son souci d’améliorer la sécurité sur toutes ses plateformes et à toutes les étapes de leur cycle de développement jusqu’à leur exploitation à grande échelle. D’après l’auteur du billet de blog, le programme Windows Insider est un excellent laboratoire à cet effet, car elle permet de tester les différentes fonctionnalités qui sont ajoutées à Windows et les logiciels qui tournent autour du système d’exploitation de Microsoft.

Avec ce programme, Microsoft tente d'adopter la même stratégie que pour les autres produits bénéficiant d'une meilleure sécurité grâce à des programmes de Bug Bounty récompensant les chercheurs qui découvrent des failles sur ses produits. Cela est important pour la société, car Edge représente aujourd’hui une alternative sûre à l'ancien Internet Explorer, souvent décrit comme le navigateur le plus vulnérable du marché par certains observateurs.

Pour rappel, Microsoft Edge a récemment été mis à jour vers la version 14 à l’occasion du lancement de la mise à jour anniversaire du système d’exploitation de Microsoft et avait été amélioré avec une liste importante de nouvelles fonctionnalités ainsi que des améliorations de sécurité qui aident à protéger les utilisateurs contre les menaces les plus courantes. La prochaine mise à jour majeure pour Edge est prévue pour le printemps 2017, la date prévue par Microsoft pour dévoiler la deuxième vague de la mise à jour Redstone.

Source : Blog Microsoft

Et vous ?

Que pensez-vous de ce programme de recherche de bogues lancé par Microsoft ?

Voir aussi

le forum IE