Les prix de Microsoft Bug Bounty sont augmentés jusqu’à 30 % pour les chercheurs en sécurité qui découvrent les vulnérabilités d’Office 365 et du service de compte Microsoft.
«Grâce à ces nouvelles primes basées sur des scénarios, nous encourageons les chercheurs à concentrer leurs recherches sur les vulnérabilités qui ont le plus grand impact potentiel sur la confidentialité et la sécurité des clients», a révélé une annonce du Microsoft Security Response Center (MSRC).
Quels sont les prix de Microsoft Bug Bounty ?
Les récompenses augmentent jusqu’à 30 % pour les soumissions de scénarios éligibles et peuvent atteindre 26 000 USD par vulnérabilité signalée. Microsoft a noté que les failles qui ne sont pas considérées comme “hautement prioritaires” sont toujours éligibles pour des récompenses dans le cadre du programme General Awards.
“Si une vulnérabilité signalée ne se qualifie pas pour une prime dans le cadre des scénarios à fort impact, elle peut être éligible pour une prime dans le cadre des récompenses générales”, indique la société. Des récompenses plus élevées sont toujours possibles, mais à la discrétion de Microsoft, en fonction de la gravité et de l’impact de la vulnérabilité et de la qualité de la soumission.
Augmentations de prix
- Exécution de code à distance via une entrée non fiable (CWE-94 “Improper Control of Generation of Code (“Code Injection”)”) de 30,00 %
- Exécution de code à distance via une entrée non fiable (CWE-502 “Désérialisation de données non fiables”) de 30,00 %
- Fuite non autorisée de données sensibles entre locataires et entre identités1 (CWE-200 « Exposition d’informations sensibles à un acteur non autorisé ») de 20,00 %
- Fuite non autorisée de données sensibles entre identités (CWE-488 « Exposition d’un élément de données à une mauvaise session ») de 20,00 %
- Vulnérabilités « adjoint confus » pouvant être utilisées dans une attaque pratique qui accède aux ressources d’une manière qui contourne l’authentification (CWE-918 « Server-Side Request Forgery (SSRF) ») de 15,00 %
Sur une note totalement indépendante : vous pouvez toujours gagner de l’argent auprès de Microsoft même si vous n’êtes pas un chercheur en sécurité !
Microsoft a également annoncé avoir étendu ses programmes de primes de bogues pour inclure Exchange, SharePoint et Skype Entreprise. Les chercheurs en sécurité peuvent désormais découvrir et signaler des failles dans les serveurs Exchange et SharePoint pour gagner des récompenses allant de 500 $ à 26 000 $. Sur la base des multiplicateurs de gravité (entre 15 et 30 %), les chasseurs de primes peuvent recevoir des paiements plus importants pour les vulnérabilités ».
Le Programme de primes M365 La page fournit des informations supplémentaires sur les montants des récompenses, les situations à fort impact et la nouvelle liste des domaines concernés.
