Microsoft révise entièrement son programme de primes aux chercheurs en sécurité. Désormais, même les failles détectées dans des logiciels tiers utilisés par l'entreprise pourront donner lieu à une rémunération.
La société de Satya Nadella a annoncé une refonte complète de sa politique de rémunération des vulnérabilités informatiques. La nouvelle approche, baptisée « in scope by default », étend le périmètre des découvertes éligibles à récompense. L'objectif est de stimuler la recherche de failles dans l'ensemble de l'écosystème technologique de l'entreprise, y compris sur des composants qu'elle ne développe pas elle-même.
Une couverture du programme de primes étendue à l'ensemble de l'écosystème
Lors de la conférence Black Hat Europe, Tom Gallagher, vice-président de l’ingénierie au sein du Microsoft Security Response Center (MSRC), a détaillé cette nouvelle stratégie. Microsoft adopte désormais une approche dite « in scope by default », que l’on peut traduire par un périmètre couvert par défaut. Concrètement, toute vulnérabilité jugée critique et ayant un impact démontrable sur les services en ligne de Microsoft pourra dorénavant donner lieu à une prime.
Cette règle s’applique même lorsque le code concerné n’est pas directement développé par l’entreprise. « Peu importe que le code soit détenu et géré par Microsoft, par un tiers ou qu’il soit open source, nous ferons tout le nécessaire pour corriger le problème », a expliqué Tom Gallagher. Selon lui, l’objectif est clair : « inciter la recherche sur les zones à plus haut risque, en particulier celles que les acteurs malveillants sont les plus susceptibles d’exploiter ».
Dans ce nouveau cadre, une faille d’une gravité donnée entrainera la même récompense financière, qu’elle soit découverte dans un produit Microsoft ou dans une base de code tierce, dès lors qu'elle affecte l’écosystème du groupe.
Une évolution majeure du Microsoft Bug Bounty Program
Cette évolution rompt avec l’approche jusque-là très encadrée du Bug Bounty Program au sein du MSRC. Jusqu’à présent, les règles étaient particulièrement strictes puisque seuls certains types de bugs, sur des produits explicitement identifiés, entraient dans le champ des primes. Désormais, même les services ou produits récents, y compris ceux lancés sans programme de récompense dédié, sont automatiquement éligibles.
Microsoft précise que cette ouverture concerne aussi ses propres domaines et infrastructures internes, même lorsqu’aucun programme spécifique n’existait auparavant. « Là où aucun programme de primes n’est en place, nous reconnaîtrons et récompenserons la diversité des contributions de la communauté des chercheurs en sécurité, quel que soit le terrain sur lequel leur expertise les mène », a indiqué Tom Gallagher.
Sans surprise, les récents bouleversements occasionnés par le cloud et l'intelligence artificielle ont vivement encouragé Microsoft à repenser de fond en comble sa stratégie liée à la sécurité. Quoi qu'il en soit, l'entreprise a distribué plus de 17 millions de dollars l'an dernier via son programme de primes et sa compétition Zero Day Quest, et prévoit vraisemblablement d'augmenter ces dépenses.
Source : The Register
