Windows devient un membre permanent du Bug Bounty de Microsoft

Au lieu de tests limités dans le temps et dans les fonctions ciblées, Windows sera désormais ouvert aux tests tous azimuts des chercheurs en sécurité. Avec des primes revues à la hausse.

Si Microsoft anime depuis des années déjà un programme de recherche de bugs – par ailleurs richement doté -, celui-ci restait jusqu’à présent limité dans son périmètre. Les chercheurs en sécurité souhaitant participer à ce programme pouvaient certes tester la robustesse d’Office 365, du Cloud Azure ou du navigateur Edge, mais leurs explorations de Windows devaient, jusqu’à présent, rester circonscrites à certains pans de l’OS, au sein de fenêtres temporelles bien définies.

Focus sur Hyper-V

Des limites que l’éditeur de Redmond a décidé de gommer en faisant de Windows un membre permanent du programme de Bug Bounty maison et en étendant le périmètre ouvert aux tests à tous les composants de l’OS. Microsoft en profite pour relever les primes qu’il accorde aux chercheurs en sécurité, qui vont désormais de 500 à 250 000 dollars. « Toute exécution de code à distance de classe critique ou importante, toute élévation de privilège ou défaut de conception compromettant la confidentialité et la sécurité des utilisateurs recevra une prime », promettent les équipes de l’éditeur.

Si les hackers peuvent chercher les failles de Windows – Windows Server y compris – dans toutes les directions, l’éditeur indique quelques fonctions clefs, en particulier Hyper-V (pour lequel des récompenses de 5 000 à 250 000 $ sont promises) ou le contournement des fonctions de protection de Windows (programme Mitigation Bypass and Bounty for Defense Terms, de 500 à 200 000 $). A comparer aux 500 à 15 000 $ dont devront se contenter ceux découvrant des défauts dans d’autres segments des Windows Insider Preview, les versions préliminaires de Windows.

Microsoft semble de plus en plus miser sur son programme de Bug Bounty pour sécuriser ses produits. Le mois dernier, c’est le navigateur Edge qui devenait membre permanent du dispositif.

A lire aussi :

Yogosha tente d’inventer le Bug Bounty à l’européenne

Le Bug Bounty de l’US Army trouve une faiblesse du réseau interne

Sécurité : l’Europe inclut un bug bounty à son audit logiciel

Photo : morrisonbrett via VisualHunt.com / CC BY