Bug bounty Microsoft : 250 000 dollars pour des failles majeures

bug bounty microsoft

Depuis la découverte des failles Meltdown et Spectre au début de l’année, Microsoft a décidé de faire évoluer sa ligne de conduite car il ne souhaite pas revivre pareille mésaventure. Dans ce cadre, le programme bug bounty Microsoft vient d’être lancé et les découvreurs de failles majeures seront bien rémunérés puisque c’est un bonus de 250 000 dollars qui les attend.

Lancement d’un important programme de bug bounty Microsoft

Microsoft sait apprendre du passé, c’est du moins ce qui apparait en constatant que le géant américain lance une grande chasse aux bugs.

Eh oui, jusqu’au 31 décembre 2018, un programme bug bounty Microsoft va récompenser celles et ceux qui vont découvrir des vulnérabilités de canal auxiliaire d’exécution spéculative, autrement dit des failles comparables à Spectre ou Meltdown.

D’ailleurs, Microsoft ne compte pas négliger ce programme baptisé « Speculative Execution Bounty Program » et c’est pour cela qu’il a décidé de bien rétribuer ceux qui contribueront à sa réussite. Les meilleurs découvreurs, s’ils mettent la main sur une faille majeure, pourront ainsi empocher 250 000 dollars.

Le programme de bug bounty Microsoft se répartira en différentes catégories et le plafond de primes sera lié à la catégorie de la faille. La découverte d’une nouvelle classe d’attaques d’exécution spéculative (Tier 1) sera la mieux rétribuée et devancera celle d’un contournement d’atténuation d’exécution spéculative Azure (Tier 2), celle d’un contournement d’atténuation d’éxécution spéculative Windows (Tier 3) et celle d’une instance de vulnérabilité d’exécution spéculative connue dans le système d’exploitation Windows 10 ou le navigateur Microsoft Edge (Tier 4).

Microsoft redouterait-il une multiplication des attaques ?

Si un programme bug bounty Microsoft voit le jour en ce mois de mars 2018, c’est bien évidemment parce que l’exécution spéculative a ouvert de nouvelles opportunités aux hackers.

Aussi, le géant américain est convaincu que des recherches sont actuellement menées pour trouver de nouvelles méthodes d’attaques et c’est pour cette raison qu’il a désiré lancer vise son programme de chasse aux bugs.

Les failles d’exécution spéculative doivent donc être éliminées vite et c’est l’industrie dans son ensemble qui doit tout mettre en œuvre pour que cela soit le cas. Microsoft en tout cas a pris l’engagement de partager ses trouvailles, l’objectif final du projet étant de créer un environnement plus sûr pour tous les utilisateurs des produits Microsoft.

No votes yet.
Please wait...

Be the first to comment

Leave a Reply

Votre adresse de messagerie ne sera pas publiée.


*