Si Microsoft anime depuis des années déjà un programme de recherche de bugs – par ailleurs richement doté -, celui-ci restait jusqu’à présent limité dans son périmètre. Les chercheurs en sécurité souhaitant participer à ce programme pouvaient certes tester la robustesse d’Office 365, du Cloud Azure ou du navigateur Edge, mais leurs explorations de Windows devaient, jusqu’à présent, rester circonscrites à certains pans de l’OS, au sein de fenêtres temporelles bien définies.
Des limites que l’éditeur de Redmond a décidé de gommer en faisant de Windows un membre permanent du programme de Bug Bounty maison et en étendant le périmètre ouvert aux tests à tous les composants de l’OS. Microsoft en profite pour relever les primes qu’il accorde aux chercheurs en sécurité, qui vont désormais de 500 à 250 000 dollars. « Toute exécution de code à distance de classe critique ou importante, toute élévation de privilège ou défaut de conception compromettant la confidentialité et la sécurité des utilisateurs recevra une prime », promettent les équipes de l’éditeur.
Si les hackers peuvent chercher les failles de Windows – Windows Server y compris – dans toutes les directions, l’éditeur indique quelques fonctions clefs, en particulier Hyper-V (pour lequel des récompenses de 5 000 à 250 000 $ sont promises) ou le contournement des fonctions de protection de Windows (programme Mitigation Bypass and Bounty for Defense Terms, de 500 à 200 000 $). A comparer aux 500 à 15 000 $ dont devront se contenter ceux découvrant des défauts dans d’autres segments des Windows Insider Preview, les versions préliminaires de Windows.
Microsoft semble de plus en plus miser sur son programme de Bug Bounty pour sécuriser ses produits. Le mois dernier, c’est le navigateur Edge qui devenait membre permanent du dispositif.
A lire aussi :
Yogosha tente d’inventer le Bug Bounty à l’européenne
Le Bug Bounty de l’US Army trouve une faiblesse du réseau interne
Sécurité : l’Europe inclut un bug bounty à son audit logiciel
Comment gérer les données numériques après la mort de son détenteur ? La jeune pousse…
Ivès, expert en accessibilité de la surdité, s’est associé à Sopra Steria et à IBM…
L'Autorité de la concurrence et des marchés (CMA) a lancé la phase de recherche de…
Broadcom remplace pas moins de 168 logiciels VMware par deux grandes licences de location correspondant…
La banque d’investissement utilise l'IA pour proposer des stratégies individualisées, en termes de rendement et…
OVHCloud partage ses efforts environnementaux au sommet de l’Open Compute Project qui se tient à…