Saviez-vous que vous pouvez signaler les vulnérabilités Windows et les techniques d'exploitation à Microsoft et être payé pour cela? Le programme Bounty de Microsoft aide l'entreprise à exploiter l'intelligence collective des utilisateurs de Windows pour améliorer les performances de son équipe de sécurité et mieux protéger ses clients.
Les programmes Bounty sont des programmes limités dans le temps qui s'appliquent uniquement à certaines versions et outils du système d'exploitation, aidant Microsoft à corriger les vulnérabilités avant que la version finale ne soit terminée et déployée au grand public. Le taux de prime régulier est de 15000 $ mais l'offre la plus généreuse va jusqu'à 100000 $.
Appel à tous les amis, pirates et chercheurs de Microsoft! Voulez-vous nous aider à protéger nos clients, à améliorer certains de nos produits les plus populaires… et à gagner de l'argent en faisant cela? Montez tout de suite!
Les programmes Microsoft Bounty existent depuis juin 2013, et la société offre des primes pour certaines classes de vulnérabilités signalées par les utilisateurs. Pourtant, très peu d'utilisateurs de Windows savent que de tels programmes existent.
Il existe actuellement cinq programmes de primes actifs. La dernière cible les bogues de Microsoft .NET Core et ASP.NET Core et offre une prime totale de 15 000 $. Le géant de Redmond a déjà annoncé que de gros changements seraient apportés à .Net Core version 2.0 en 2017, et les améliorations de sécurité sont définitivement sur la liste. Vous pouvez désormais aider Microsoft à détecter et à corriger les vulnérabilités NET Core et ASP.NET Core et à être payé pour cela.
Il vous suffit de signaler certains types de vulnérabilités et de techniques d'exploitation utilisées pour les projets en envoyant un e-mail à [email protected].
La liste complète des programmes de primes en cours comprend:
Nom du programme | Date de début | Fin | Inscriptions éligibles | Gamme Bounty |
Conditions du programme Microsoft .NET Core et ASP.NET Core Bug Bounty | 1 septembre 2016 | En cours | Rapports de vulnérabilité sur .NET Core et ASP.NET Core RTM et les futures versions (voir le lien pour plus de détails sur le programme) | Jusqu'à 15 000 USD |
Microsoft Edge RCE sur Windows Insider Preview Bug Bounty | 4 août 2016 | 15 mai 2017 | Critical RCE dans Microsoft Edge dans l'aperçu de Windows Insider.TEMPS LIMITÉ. | Jusqu'à 15 000 USD |
Prime de bogue des services en ligne (O365) | 23 septembre 2014 | En cours | Rapports de vulnérabilité sur les services O365 applicables (voir le lien pour les détails du programme). | Jusqu'à 15 000 USD |
Prime de bogue des services en ligne (Azure) | 22 avril 2015 | En cours | Rapports de vulnérabilité sur les services Azure éligibles (voir le lien pour les détails du programme). | Jusqu'à 15 000 USD |
Prime de contournement d'atténuation | 26 juin 2013 | En cours | Nouvelles techniques d'exploitation contre les protections intégrées à la dernière version du système d'exploitation Windows. | Jusqu'à 100 000 USD |
Prime pour la défense | 26 juin 2013 | En cours | Idées défensives qui accompagnent une soumission de contournement d'atténuation admissible | Jusqu'à 100000 $ (en plus de toute prime de contournement d'atténuation applicable). |
Bonne chasse aux vulnérabilités!