Bug Bounty : Microsoft couvre (aussi) Bing et son chatbot

La Redaction,
Linkedin
Bing Search ChatGPT Microsoft

Microsoft veut récompenser la découverte de vulnérabilités dans Bing, son moteur de recherche enrichi par un chatbot dérivé de ChatGPT d’OpenAI.

Microsoft a annoncé, par le biais d’un tweet de son CEO Advertising & Web services Mikhail Parakhin, récompenser la découverte de vulnérabilités dans la plus récente mouture de Bing.

Et ce dans le cadre de son programme de bug bounty ou chasse de primes aux dysfonctionnements informatiques et erreurs de programmation.

Microsoft veut donc encourager des hackers « éthiques » et chercheurs tiers en sécurité à identifier des vulnérabilités dans son moteur de recherche Bing et dans Bing Chat.

Annoncée en février 2023, l’intelligence artificielle conversationnelle Bing Chat a été mise à jour en mars pour inclure le modèle de langage pré-entraîné GPT-4 (generative pre-training transformer 4) de l’entreprise OpenAI et tenter de mieux rivaliser avec Google Search.

Protéger mieux Bing et Bing Chat

Différentes vulnérabilités sont éligibles, dont les :

– Attaque par injection de script côté client (CSRF)
– Falsification de requête inter-site (CSRF)
– Exécution de code côté serveur
– Référence directe non sécurisée aux objets
– Désérialisation non sécurisée

– Injection SQL
– Attaque par injection d’entité externe XML (XXE)
– Falsification de requête côté serveur (SSRF)
– Exfiltration et divulgation d’informations
– Contournement de l’authentification et/ou de l’autorisation

Comment tirer parti de l’extension du programme à la plus récente mouture de Bing ?

Les chercheurs en sécurité tiers doivent accepter les conditions du programme de bug bounty et soumettre un rapport détaillé concernant la vulnérabilité découverte via le portail MSRC (Microsoft Security Response Center).

Les primes peuvent varier en fonction de la criticité, de 500 $ pour une découverte de faible gravité dans Bing à 15 000 $ pour des découvertes à fort impact.

Tous produits confondus, Microsoft a déclaré en août dernier avoir versé 13,7 millions $ de primes au total sur douze mois.

Microsoft n’est pas le seul à renforcer sa technologie par ce biais. OpenAI, l’entreprise américaine à l’origine du chatbot ChatGPT et du générateur d’images DALL·E, a récemment confirmé solliciter les contributions externes de hackers et chercheurs en sécurité.

L’ambition ? Renforcer la sécurité de technologies d’intelligence artificielle générative.

(crédit photo © Who is Danny – Adobe Stock)