Si Microsoft anime depuis des années déjà un programme de recherche de bugs – par ailleurs richement doté -, celui-ci restait jusqu’à présent limité dans son périmètre. Les chercheurs en sécurité souhaitant participer à ce programme pouvaient certes tester la robustesse d’Office 365, du Cloud Azure ou du navigateur Edge, mais leurs explorations de Windows devaient, jusqu’à présent, rester circonscrites à certains pans de l’OS, au sein de fenêtres temporelles bien définies.
Des limites que l’éditeur de Redmond a décidé de gommer en faisant de Windows un membre permanent du programme de Bug Bounty maison et en étendant le périmètre ouvert aux tests à tous les composants de l’OS. Microsoft en profite pour relever les primes qu’il accorde aux chercheurs en sécurité, qui vont désormais de 500 à 250 000 dollars. « Toute exécution de code à distance de classe critique ou importante, toute élévation de privilège ou défaut de conception compromettant la confidentialité et la sécurité des utilisateurs recevra une prime », promettent les équipes de l’éditeur.
Si les hackers peuvent chercher les failles de Windows – Windows Server y compris – dans toutes les directions, l’éditeur indique quelques fonctions clefs, en particulier Hyper-V (pour lequel des récompenses de 5 000 à 250 000 $ sont promises) ou le contournement des fonctions de protection de Windows (programme Mitigation Bypass and Bounty for Defense Terms, de 500 à 200 000 $). A comparer aux 500 à 15 000 $ dont devront se contenter ceux découvrant des défauts dans d’autres segments des Windows Insider Preview, les versions préliminaires de Windows.
Microsoft semble de plus en plus miser sur son programme de Bug Bounty pour sécuriser ses produits. Le mois dernier, c’est le navigateur Edge qui devenait membre permanent du dispositif.
A lire aussi :
Yogosha tente d’inventer le Bug Bounty à l’européenne
Le Bug Bounty de l’US Army trouve une faiblesse du réseau interne
Sécurité : l’Europe inclut un bug bounty à son audit logiciel
FT Group, éditeur du Financal Times, a signé un accord avec OpenAI afin d'utiliser ses…
Au premier trimestre, Microsoft, Meta/Facebook et Alphabet/Google ont déjà investi plus de 32 milliards $…
La société britannique de cybersécurité Darktrace a accepté une offre de rachat de 5,32 milliards…
Silicon et KPMG lancent la deuxième édition de l'étude Trends of IT. Cette édition 2024…
Le ministère de l'économie a adressé une lettre d'intention à la direction d'Atos pour racheter…
Directeur Technologie de SNCF Connect & Tech, Arnaud Monier lance une campagne de recrutement pour…