Microsoft bounty program now includes any flaw impacting its services
Mis à jour :
Microsoft Élargit son Programme de Bug Bounty pour inclure tous ses Services en Ligne
Microsoft a annoncé une évolution majeure de son programme de primes de sécurité, qui couvre désormais toute vulnérabilité critique affectant ses services en ligne, indépendamment de l’origine du code (Microsoft, tiers, open source). Cette décision vise à inciter les chercheurs en sécurité à identifier les failles dans les zones à plus haut risque, là où les acteurs malveillants sont susceptibles d’attaquer.
Points Clés :
- Couverture étendue : Le programme récompense désormais les failles dans tous les services en ligne de Microsoft, y compris ceux qui dépendent de composants tiers, dès lors qu’elles ont un impact direct et démontrable sur ces services.
- Services récents inclus : Tous les nouveaux services seront automatiquement inclus dès leur lancement.
- Objectif : Inciter la recherche sur les risques les plus élevés et reconnaître les contributions de la communauté de la sécurité.
- Engagement financier : Microsoft a versé plus de 33 millions de dollars en récompenses ces deux dernières années.
- Initiative globale : Cette mesure s’inscrit dans le cadre de la “Secure Future Initiative” de Microsoft, axée sur la priorisation de la sécurité.
Vulnérabilités : L’article ne mentionne pas de vulnérabilités spécifiques avec des identifiants CVE. Il traite de la politique générale de récompense pour les vulnérabilités.
Recommandations : La principale recommandation émanant de cette annonce est pour les chercheurs en sécurité : continuer à identifier et signaler les vulnérabilités critiques affectant les services en ligne de Microsoft pour être éligibles aux récompenses. Pour Microsoft, l’action est d’intégrer activement ces vulnérabilités découvertes (qu’elles proviennent de code interne ou tiers) dans leur programme de bug bounty et de les corriger.