Lorsqu’il s’agit de sécuriser des produits complexes, les entreprises se tournent de plus en plus vers les programmes de primes aux bugs pour inviter les membres du public à trouver des failles de sécurité. Le programme de primes aux bugs de Google a distribué 6,5 millions de dollars l’année dernière, et Apple a récemment étendu son programme aux bugs de macOS et d’iOS.
Aujourd’hui, Microsoft étend son propre programme de primes aux bogues, qui couvre non seulement les logiciels tels que la suite Office et le navigateur Edge, mais aussi le réseau et les services Xbox Live. La société versera des récompenses à toute personne qui trouvera et reproduira une faille de sécurité dans le système Xbox Live.
Comme annoncé dans un billet de blog du Microsoft Security Response Center, « Le programme Xbox bounty invite les joueurs, les chercheurs en sécurité et les technologues du monde entier à contribuer à l’identification des failles de sécurité dans le réseau et les services Xbox, et à les partager avec l’équipe Microsoft Xbox par le biais de la divulgation coordonnée des vulnérabilités (CVD). Les soumissions éligibles avec une preuve de concept (POC) claire et concise sont éligibles pour des récompenses allant jusqu’à 20 000 dollars US. »
Le CVD est une politique dans laquelle les chercheurs acceptent de divulguer toutes les vulnérabilités qu’ils trouvent aux créateurs du logiciel (dans ce cas, Microsoft) et permettent aux créateurs de gérer la divulgation ultérieure. Essentiellement, les participants au programme de primes aux bugs acceptent de transmettre des informations sur les vulnérabilités à Microsoft et de laisser cette dernière gérer la fermeture des failles de sécurité et les annonces au public.
Pour s’inscrire au programme, les utilisateurs doivent avoir un compte réseau Xbox, et Microsoft recommande qu’ils aient également accès à une Xbox avec un Xbox Game Pass ou Xbox Gold. Lorsqu’un utilisateur a identifié une faille de sécurité qui peut être reproduite dans la dernière version corrigée de Xbox Live, il doit la signaler par écrit ou en vidéo.
Les primes s’échelonnent de 1 000 dollars pour un rapport de faible qualité sur une vulnérabilité permettant l’altération à 20 000 dollars pour un rapport de haute qualité sur une vulnérabilité critique permettant l’exécution de code à distance.
Les attaques par déni de service ne font pas partie du programme et sont interdites, tout comme les attaques automatisées qui génèrent un trafic important. Les attaques d’ingénierie sociale telles que le phishing ne sont pas non plus autorisées.
Plus de détails sur les modalités du programme de primes aux bugs sont disponibles sur le site Web de Microsoft.
Recommandations des rédacteurs