Microsoft lance un programme de Bug Bounty pour Microsoft Defender : jusqu’à 20 000$ de récompense !
Microsoft a lancé un nouveau programme de Bug Bounty pour sa solution de sécurité, Microsoft Defender, avec des récompenses comprises entre 500 et 20 000 dollars. Voici ce qu'il faut savoir !
Après avoir lancé un programme de Bug Bounty pour ses services liés à l'intelligence artificielle en octobre dernier, Microsoft vient d'en lancer un pour Microsoft Defender, mais avec une portée très limitée pour le moment !
En effet, ce programme concerne uniquement Microsoft Defender for Endpoint APIs pour le moment. Par la suite, l'entreprise américaine devrait l'étendre à d'autres services de sa solution Microsoft Defender. "Le programme Defender aura d'abord une portée limitée, se concentrant sur Microsoft Defender for Endpoint APIs, et s'étendra à d'autres produits de la marque Defender au fil du temps.", peut-on lire sur le site de Microsoft.
Désormais, les chercheurs en sécurité peuvent tester la sécurité de Microsoft Defender et obtenir une récompense dont le montant dépendra du type de vulnérabilité et du niveau de criticité. "Le programme Microsoft Defender Bounty invite les chercheurs du monde entier à identifier les vulnérabilités des produits et services Defender et à les partager avec notre équipe.", précise Microsoft.
Voici le tableau des récompenses mis en ligne par Microsoft (que vous pouvez retrouver sur cette page) :
| Type de vulnérabilité | Qualité du rapport | Sévérité | |||
|---|---|---|---|---|---|
| Critique | Importante | Modérée | Faible | ||
| Remote Code Execution | High Medium Low | $20,000 $15,000 $10,000 | $15,000 $10,000 $5,000 | $0 | $0 |
| Elevation of Privilege | High Medium Low | $8,000 $4,000 $3,000 | $5,000 $2,000 $1,000 | $0 | $0 |
| Information Disclosure | High Medium Low | $8,000 $4,000 $3,000 | $5,000 $2,000 $1,000 | $0 | $0 |
| Spoofing | High Medium Low | N/A | $3,000 $1,200 $500 | $0 | $0 |
| Tampering | High Medium Low | N/A | $3,000 $1,200 $500 | $0 | $0 |
| Denial of Service | High/Low | Out of Scope |
Comme vous pouvez le voir, la récompense varie de 500 dollars à 20 000 dollars, et dans certains cas, il n'y a pas de récompense. Nous pouvons que Microsoft offrira une récompense uniquement pour les failles de sécurité importantes ou critiques.
Par ailleurs, Microsoft a donné quelques statistiques au sujet de l'ensemble de ses programmes de Bug Bounty, soit 22 programmes. Depuis le début, Microsoft a versé 58,9 millions de dollars de récompenses à 1 147 chercheurs en sécurité du monde entier, pour un total de 446 vulnérabilités signalées et éligibles.
