Microsoft pays $2.3M for cloud and AI flaws at Zero Day Quest

Microsoft : 2,3 millions de dollars versés pour la cybersécurité Cloud et IA

Lors de l’événement « Zero Day Quest », Microsoft a récompensé des chercheurs en cybersécurité à hauteur de 2,3 millions de dollars pour la découverte de près de 700 vulnérabilités. Plus de 80 de ces failles ont été qualifiées d’impact critique, touchant spécifiquement les infrastructures Cloud et les systèmes d’intelligence artificielle de l’entreprise.

Points clés :

• Engagement communautaire : Participation internationale diversifiée, incluant des profils variés, allant d’étudiants à des universitaires.
• Initiative Secure Future (SFI) : Cet événement s’inscrit dans le cadre d’un plan de transformation globale de la culture de sécurité chez Microsoft, lancé en 2023 suite à des critiques sévères sur sa gestion des vulnérabilités.
• Transparence accrue : Microsoft s’engage désormais à publier systématiquement les vulnérabilités critiques via le programme CVE, même lorsqu’aucune action de la part du client n’est requise.

Vulnérabilités identifiées : Bien que les CVE spécifiques n’aient pas été listés dans cet article, les chercheurs ont mis en lumière des chemins d’attaque critiques, notamment :

• Exposition d’identifiants (Credential exposure).
• Chaînes SSRF (Server-Side Request Forgery).
• Accès inter-locataires (Cross-tenant access).

Recommandations et stratégie :

• Sécurisation native : Microsoft applique les piliers de la SFI : sécurisation par défaut, par conception (by design) et dans les opérations.
• Extension des programmes de primes : Microsoft étend ses récompenses aux vulnérabilités critiques impactant ses services, même lorsque le code vulnérable est fourni par des tiers.
• Partage des connaissances : Les enseignements issus des failles découvertes durant le « Zero Day Quest » sont diffusés en interne pour renforcer de manière transversale la robustesse des environnements Cloud et IA.

Source