Discussion :

[Hinault Romaric]

Microsoft lance son programme de récompenses des hackers
Pour la découverte des failles dans ses services en ligne

La découverte des failles de sécurité dans les logiciels demande du temps, de l’énergie et des ressources aux chercheurs en sécurité. Pour les motiver, certains géants de l’IT ont mis sur pied des programmes de récompenses pour les failles qui sont signalées dans leurs applications.

C’est notamment le cas de Google avec son programme de récompenses des chasseurs de vulnérabilités amorcé en novembre 2010, ou encore de Facebook qui avait suivi l’exemple avec son programme White Hat.

Microsoft avait aussi rejoint l’aventure en mettant Windows 8.1 et IE 11 à l’épreuve des hackers il y a plus d’un an lors de la conférence Black Hat, en offrant des primes pouvant aller jusqu’à 100 000 dollars en cas de découverte et d’exploitation d’une vulnérabilité dans ses produits.

Microsoft récidive et dévoile un nouveau programme de récompenses sur la découverte des bogues, qui couvre un large éventail de ses services en ligne. Ce programme concerne les failles découvertes sur les services Office 365 (outlook.com, sharepoint.com, lync.com, yammer.com, etc.).

Les soumissions admissibles concernent les failles XSS (Cross Site Scripting), CSRF (Cross Site Request Forgery), les attaques par injection, les défauts d’authentification, l’exécution du code côté serveur, l’escalade des privilèges, etc. Le montant des primes varie en fonction de la sévérité de la faille. Le minimum pouvant être perçu par un chercheur en sécurité est de 500 dollars.

Microsoft a également listé les failles qui ne sont pas admissibles dans ce programme. Il s’agit notamment des redirections d’URL, des bugs dans l’application qui n’affectent que les navigateurs et des plugins non pris en charge, des vulnérabilités Cookie replay et bien plus. La liste complète est disponible dans le billet de blog de la firme.

Le programme de récompense de Microsoft a été mis en place à la demande de ses clients et fait partie des efforts continus de l’entreprise pour approfondir ses relations avec la communauté des chercheurs en sécurité.


Par ailleurs, ce programme permettra à la société de rapidement combler les failles de ses services en ligne et de mettre l’utilisateur final à l’abri des attaques. Il faut noter que le marché des vulnérabilités est assez controversé. Plusieurs experts en sécurité préfèrent garder le secret sur les failles qu’ils découvrent pour les vendre au plus offrant sur le marché noir.


Source : Microsoft


Et vous ?

Pensez-vous que c’est une bonne idée ?

Que pensez-vous des chercheurs en sécurité qui préfèrent vendre les failles au plus offrant ?

[benjani13]

Il faut noter que le marché des vulnérabilités est assez controversé. Plusieurs experts en sécurité préfèrent garder le secret sur les failles qu’ils découvrent pour les vendre au plus offrant sur le marché noir.

Justement, ce genre de programme permet soit de faire basculer des black hat du bon côté de la force, soit à des white hat de combler des failles potentiellement déjà utilisés par des pirates.

C'est cool que ce genre de programme se démocratise (en espérant un jour avoir les compétences pour y participer^^).

[imikado]

Pensez-vous que c’est une bonne idée ?
Oui et non: depuis des années, on peut payer des audits de sécurités de nos applications web ou lourde, là ils demandent à tout le monde de faire se travail en payant pour les failles découvertes.
Pourquoi ne pas faire comme tout le monde et faire ces audits de sécurité, plutôt que de faire un coup de communication comme celui-ci ?

[Invité]

@imikado: Quand on pense que d'autre entreprise prefere envoyer des avocats plutôt qu'un chèque, alors on va pas chipoter, ca va dans le bon sens.
Surtout que des audit, ils doivent en faire, mais les surdoués ne sont pas toujours à porté de main et ne travail pas tous dans les boites d'audits

[benjani13]

Pensez-vous que c’est une bonne idée ?
Oui et non: depuis des années, on peut payer des audits de sécurités de nos applications web ou lourde, là ils demandent à tout le monde de faire se travail en payant pour les failles découvertes.
Pourquoi ne pas faire comme tout le monde et faire ces audits de sécurité, plutôt que de faire un coup de communication comme celui-ci ?

Outre le fait qu'effectivement ça leur permet de faire de l'audit à bas coup (sont pas fou), certes c'est de la communication mais si ça permet à l'avenir de changer la vision des entreprises sur la sécurité je suis pour.
Comme le dit VBrice, le constat aujourd'hui est que si tu signale une faille tu as plus de chance de finir devant un tribunal que devant un mot de remerciement.

[imikado]

Quand je lis:

Les soumissions admissibles concernent les failles XSS (Cross Site Scripting), CSRF (Cross Site Request Forgery), les attaques par injection, les défauts d’authentification, l’exécution du code cité serveur, l’escalade des privilèges, etc. Le montant des primes varie en fonction de la sévérité de la faille.

C'est le périmètre de ces sociétés d'audit qui passe environ une semaine à deux semaines* sur une application web
*dépendant du nombre de pages à tester.

[imikado]

Mais je suis d'accord que c'est bien d'indiquer que pour une faille trouvée et comuniquée, la société n'attaquera pas

[marsupial]

un smartphone connecté

une bonne base de départ

[MATKILLEUR14]

Bonjour apres une communication avec le service Xbox il m'on envoyer ici enfin de vous expliquez la faille et toucher une récompense.

La faille est situer dans le système d'achat des jeux xbox one. Pour plus de détail merci de me contacter.

Bonne soirée