Office 365 se dote d’un programme de recherche de bug
Plusieurs compagnies IT comme Google ou Twitter disposent de programmes pour rechercher des erreurs de codage dans leurs solutions. Autrement appelé en anglais, Bug Bounty, cette sorte de concours récompense des spécialistes de la sécurité qui découvrent des failles dans les logiciels des éditeurs. Microsoft n’échappe à cette tendance avec différents programmes de ce type dont un pour Internet Explorer 11 (IE11).
Aujourd’hui, la société américaine présente sa formule pour les services en ligne, Bug Bounty Online Services. Et le premier produit à en bénéficier est Office 365. Une fois le bug présenté et validé, Microsoft annonce le paiement minimum de 500 dollars par erreur. La firme encadre néanmoins le type de vulnérabilités recherchées : Cross Site Scripting (XSS), Cross Site Request Forgery (CSRF), accès ou altération de données non autorisées de différents clients (pour le services multitenant), faille par injection, défaut d’authentification, exécution de code sur serveur, escalade de privilèges, mauvaise configuration significative de sécurité, etc.
Des exclusions de failles et de solutions
Par ailleurs, seuls certains services seront éligibles au programme avec comme impératif une présence dans Office 365. C’est le cas notamment pour Outlook.com. La recherche de failles ne concernera que la solution activée dans la suite bureautique et collaborative en ligne. De même, Microsoft a écarté certains problèmes de sécurité comme les attaques en déni de service. L’éditeur estimant que cela encouragerait les hackers à tester des attaques par saturation, ce qui n’est pas la vocation du programme. Il écarte des failles qui ne s’attaqueraient qu’à des plugins ou des navigateurs peu utilisés, les vulnérabilités qui touchent des technologies indépendantes du service lui-même comme des failles Apache ou IIS par exemple.
Au final, la décision reviendra à Microsoft pour valider ou non une erreur proposée. Avec ce programme, il étoffe son offre à destination des spécialistes de la sécurité qui peuvent s’attaquer maintenant à la partie SaaS des produits. Une garantie de sécurité supplémentaire demandée par les RSSI, dont certains regrettent que l’aspect sécurité soit souvent exempt des contrats des fournisseurs de solutions Cloud.
A lire aussi :
