Microsoft lance un bug bounty pour Defender

Les bug bounty sont monnaie courante chez les fournisseurs IT et Microsoft ne fait pas exception à la règle. La firme de Redmond en propose plusieurs (Azure, Bing, Dynamics 365...) et vient d'en annoncer un dernier. Cette fois, il concerne son outil de protection contre les menaces, Defender. « L'objectif du programme Defender Bounty est de découvrir des vulnérabilités importantes qui ont un impact direct et démontrable sur la sécurité de nos clients », a expliqué l'éditeur. En fonction du type de failles trouvées et de leur niveau de gravité, différentes primes peuvent être attribuées.

Ainsi, pour une faille de type RCE (exécution de code à distance) de niveau critique, la prime atteindra 20 000 $ contre 500 $ pour du spoofing à faible impact. « Des primes plus élevées sont possibles, à la seule discrétion de Microsoft, en fonction de la gravité et de l'impact de la vulnérabilité et de la qualité de la soumission. », indique toutefois l'éditeur. « Les soumissions éligibles se verront attribuer la récompense la plus élevée ». Microsoft a donné des exemple de vulnérabilités rentrant dans le scope de ce bug bounty : cross site scripting (XSS), falsification des requêtes intersites (CSRF), serveur (SSRF), injection et exécution de code côté serveur, mauvaise configuration de sécurité importante, utilisation de composants présentant des vulnérabilités connues...

Des règles à respecter pour participer

Microsoft indique que ce programme de bug bounty aura d'abord une portée limitée, se concentrant sur Defender for Endpoint APIs, et s'étendra progressivement à d'autres produits par la suite.

Pour être éligible à ce programme de chasse aux bugs, le fournisseur demande aux participants de respecter certaines règles, comme ne pas accéder à des données qui ne leur appartiennent pas totalement, sortir du cadre du PoC en exécutant des commandes inappropriées, effectuer des tests par déni de service, et/ou automatisés générant des quantités importantes de trafic, effectuer des tentatives de phishing ou par ingénierie sociale à l'encontre d'autres utilisateurs...