16/12/2024

Actu Cybersécurité

Microsoft lance un programme de Bug Bounty pour Microsoft Defender : jusqu’à 20 000$ de récompense !

Microsoft a lancé un nouveau programme de Bug Bounty pour sa solution de sécurité, Microsoft Defender, avec des récompenses comprises entre 500 et 20 000 dollars. Voici ce qu'il faut savoir !

Après avoir lancé un programme de Bug Bounty pour ses services liés à l'intelligence artificielle en octobre dernier, Microsoft vient d'en lancer un pour Microsoft Defender, mais avec une portée très limitée pour le moment !

En effet, ce programme concerne uniquement Microsoft Defender for Endpoint APIs pour le moment. Par la suite, l'entreprise américaine devrait l'étendre à d'autres services de sa solution Microsoft Defender. "Le programme Defender aura d'abord une portée limitée, se concentrant sur Microsoft Defender for Endpoint APIs, et s'étendra à d'autres produits de la marque Defender au fil du temps.", peut-on lire sur le site de Microsoft.

Désormais, les chercheurs en sécurité peuvent tester la sécurité de Microsoft Defender et obtenir une récompense dont le montant dépendra du type de vulnérabilité et du niveau de criticité. "Le programme Microsoft Defender Bounty invite les chercheurs du monde entier à identifier les vulnérabilités des produits et services Defender et à les partager avec notre équipe.", précise Microsoft.

Voici le tableau des récompenses mis en ligne par Microsoft (que vous pouvez retrouver sur cette page) :

Type de vulnérabilitéQualité du rapportSévérité
CritiqueImportanteModéréeFaible
 Remote Code ExecutionHigh
Medium
Low
$20,000
$15,000
$10,000
$15,000
$10,000
$5,000
 $0 $0
 Elevation of PrivilegeHigh
Medium
Low
$8,000
$4,000
$3,000
$5,000
$2,000
$1,000
 $0 $0
 Information DisclosureHigh
Medium
Low
$8,000
$4,000
$3,000
$5,000
$2,000
$1,000
 $0 $0
 SpoofingHigh
Medium
Low
 N/A$3,000
$1,200
$500
 $0 $0
 TamperingHigh
Medium
Low
 N/A$3,000
$1,200
$500
 $0 $0
 Denial of Service High/Low Out of Scope

Comme vous pouvez le voir, la récompense varie de 500 dollars à 20 000 dollars, et dans certains cas, il n'y a pas de récompense. Nous pouvons que Microsoft offrira une récompense uniquement pour les failles de sécurité importantes ou critiques.

Par ailleurs, Microsoft a donné quelques statistiques au sujet de l'ensemble de ses programmes de Bug Bounty, soit 22 programmes. Depuis le début, Microsoft a versé 58,9 millions de dollars de récompenses à 1 147 chercheurs en sécurité du monde entier, pour un total de 446 vulnérabilités signalées et éligibles.

author avatar
Florian BURNEL Co-founder of IT-Connect
Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.
Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Envoyer par mail

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.