Microsoft a annoncé en ce début de semaine qu’elle étendait indéfiniment le programme de primes, bug bounty, pour Microsoft Edge. Pour ceux qui l’ignorent le programme récompense les personnes qui identifient des vulnérabilités dans une version « preview » du navigateur Microsoft Edge, qui est poussée aux membres du programme Windows Insider (canal « Lent »). Grâce à ce programme de primes, les dernières versions de Microsoft Edge lancées au grand public sont encore plus sécurisées.
« Au cours des 10 derniers mois, nous avons versé plus de 200 000 dollars pour le programme Bounty », a déclaré la compagnie. « Cette collaboration avec le milieu de la recherche a entraîné d’importantes améliorations dans la sécurité de Edge, et nous a permis d’offrir une sécurité plus proactive à nos clients ».
Microsoft a commencé son programme bug bounty en 2013. Le premier a versé jusqu’à 100 000 dollars pour la découverte de « nouvelles techniques d’exploitation » contre le système d’exploitation Windows. Un autre versement de 50 000 dollars a été réalisé pour soumettre des idées « BlueHat » afin de défendre Windows contre les techniques utilisées dans la première vague de son programme. Le troisième programme a versé jusqu’à 11 000 dollars pour la découverte de vulnérabilités critiques dans la version preview d’Internet Explorer 11.
En août dernier, Microsoft a établi son programme bounty pour Edge afin de découvrir les vulnérabilités d’exécution de code à distance dans les versions preview de Edge du programme Insider. Avec une enveloppe de 15 000 dollars, le programme devait initialement se terminer le 30 juin 2017.
De 500 à 15 000 dollars
Mais, selon Microsoft, la générosité pour le navigateur Edge était si productive que le délai a été indéfiniment levé à la discrétion de l’entreprise. « Microsoft s’est engagée à fournir des produits sécurisés à nos clients, et ce programme de primes nous a aidés à atteindre cet objectif », a déclaré Microsoft. « Nous avons reçu de nombreux rapports de qualité dans Edge pendant ce programme de 10 mois, ce qui a permis de garder nos clients sécurisés ».
Toutes les primes liées à Microsoft Edge vont de 500 à 15 000 dollars. Si un individu démontre une vulnérabilité admissible déjà découverte en interne par Microsoft (et pas encore signalé), la société remettra une prime de 1 500 dollars. Toutes les vulnérabilités doivent être reproductibles sur la version preview de Windows 10 dans le canal Lent. Les vulnérabilités relatives aux anciennes builds seront considérées comme inadmissibles.
Microsoft indique qu’elle peut récompenser une découverte jusqu’à 15 000 dollars pour Edge. Cette somme, à la seule discrétion de Microsoft, est basée sur la « qualité et la complexité de la faille ».