Microsoft vient de lancer un nouveau programme de récompense pour la découverte de vulnérabilités affectant .Net Core CLR et les versions bêta d'ASP.NET 5 sorties avec Visual Studio 2015 et tournant sur Windows, Linux et Mac OS.
Pour être éligible, il faut être âgé d’au moins 14 ans, participer pour son propre compte ou travailler pour une organisation qui vous permette de postuler et enfin ne pas tomber dans les critères d’inéligibilité.
Une fois toutes ces conditions remplies, le participant peut soumettre ses vulnérabilités découvertes et non encore rapportées sur la toute dernière version bêta ou RC de Microsoft CoreCLR, ASP.NET et les templates ASP.NET 5 par défaut fournis avec ASP.NET Web Tools extension pour Visual Studio 2015.
Les bogues trouvés et qualifiés comme recevables par Microsoft peuvent être par exemple des contournements de protection CSRF (Cross-Site Request Forger) ou simplement l’exploitation d’une vulnérabilité sur les services d’authentification web, des contournements d’authentification, l’exécution de code distant, les échecs de protection des données, des fuites d’informations, des élévations de privilège, etc.
Une fois les bogues trouvés, le requérant doit produire une preuve de concept pour chaque vulnérabilité signalée à Microsoft. En retour, Microsoft s’engage à payer un montant allant de 500 dollars à 15 000 dollars selon la complexité de la faille rapportée.
Le montant le plus élevé est réservé aux vulnérabilités permettant l’exécution de code à distance accompagnées d’un rapport de haute qualité décrivant l’exécution du code malveillant. Au bas de l’échelle, nous avons la faille de type Cross Site Scripting (XSS) ou CSRF qui doit être accompagnée d’un rapport de qualité basse afin que l’auteur de la découverte puisse bénéficier d’un montant minimum de 500 dollars.
Microsoft souligne par ailleurs « qu’il n’y a pas de restrictions sur le nombre de candidatures qualifiées qu’un émetteur individuel peut fournir et être payé en retour ». En outre, toutes les personnes qui remporteront des récompenses dans ce programme Bug Bonty verront leur nom être affiché sur la page de Microsoft Bounty Honor Roll en guise de reconnaissance.
Il faut noter que Microsoft n’est pas à son premier programme Bug Bounty. En novembre 2013, la firme a initié les programmes Mitigation Bypass Bounty et the Bounty for Defense afin de récompenser à hauteur de 100 000 dollars de nouvelles techniques d’exploitation et de défense vis-à-vis de la récente version de son système d’exploitation.
En septembre 2014, ce fut le programme Online Services Bug Bounty qui fut ouvert afin de récompenser les individus rapportant des failles éligibles sur Online Services (O365 et Microsoft Azure).
Et en avril 2015, Microsoft a annoncé une extension au programme Online Services Bug Bounty afin d’inclure diverses propriétés d’Azure dans le programme et en a également profité pour lancer le programme Microsoft Edge Preview Bug Bounty.
Pour ce qui concerne ce nouveau Bug Bounty CoreCLR et ASP.NET 5 Technical Preview, il a démarré depuis le 20 octobre et prendra fin le 20 janvier de l’an prochain.
Source : Microsoft
Et vous ?
Que pensez-vous de ce programme ?
Voir aussi
Forum sécurité
Bug Bounty : Microsoft récompense jusqu'à 15 000 dollars,
La découverte de failles sur les versions bêtas de .Net CoreCLR et d'ASP.NET 5
Bug Bounty : Microsoft récompense jusqu'à 15 000 dollars,
La découverte de failles sur les versions bêtas de .Net CoreCLR et d'ASP.NET 5
Le , par Olivier Famien
Une erreur dans cette actualité ? Signalez-nous-la !