Microsoft augmente les primes de bug bounty pour les failles Microsoft 365 à fort impact

Microsoft Augmente Les Primes De Bug Bounty Pour Les Failles

Conclusion : le dernier Patch Tuesday de Microsoft contient des correctifs pour plus de 100 vulnérabilités, dont dix sont des failles critiques d’exécution de code à distance. L’entreprise veut devancer les cybercriminels en encourageant les chercheurs en sécurité avec de plus grandes récompenses pour chaque faille à fort impact qu’ils peuvent trouver dans ses produits Microsoft 365.

S’il y a une chose dont la communauté de la sécurité se plaint depuis des années, c’est que la plupart des entreprises paient très peu pour les découvertes de vulnérabilités et vont même jusqu’à corriger silencieusement leurs logiciels sans donner de crédit aux personnes qui ont signalé les problèmes. Le problème est suffisamment grave pour que certains chercheurs en sécurité envisagent de vendre leur travail à des courtiers du jour zéro et à d’autres tiers pour joindre les deux bouts.

Du côté positif, les entreprises ont progressivement augmenté les paiements de primes de bugs ces derniers temps, probablement motivées par une augmentation des cyberattaques et des campagnes de logiciels malveillants.

Microsoft a récemment annoncé qu’il ajouterait des primes basées sur des scénarios au programme Dynamics 365 et Power Platform Bounty et au programme M365 Bounty.

Microsoft augmente les primes de bug bounty pour les failles

Le géant de Redmond espère encourager les experts en sécurité à concentrer leurs travaux sur les vulnérabilités qui pourraient avoir le plus grand impact potentiel sur la vie privée des utilisateurs. À cette fin, il augmentera également les paiements maximums jusqu’à 30 % ou 26 000 $, selon le scénario et la gravité du bug.

Par exemple, trouver une vulnérabilité qui permet l’exécution de code à distance via une entrée non fiable donne droit à un bonus de 30 % en plus de la prime M365 standard.

La société affirme que des récompenses plus élevées sont également possibles « à la seule discrétion de Microsoft, en fonction de la gravité et de l’impact de la vulnérabilité et de la qualité de la soumission ».

Cette décision fait suite à une décision similaire de l’année dernière qui a vu le programme Azure Bounty augmenter le paiement maximum à 60 000 $ pour les vulnérabilités cloud de haute gravité. D’autres sociétés telles que GitLab, Google et Atlassian ont toutes augmenté leurs principaux paiements pour les découvertes de bugs critiques jusqu’à 50 %.

Plus tôt cette année, Intel a également élargi son programme de primes aux bugs pour les chercheurs sondant la sécurité des micrologiciels, des hyperviseurs, des GPU, etc.