C'est bien connu on n'attire pas les mouches avec du vinaigre, et encore moinis les chasseurs de bugs. Microsoft le pense sans doute : il a annoncé une augmentation du montant des primes versées relatives à son programme de bug bounty dédié à Dynamics 365, Power Platform ainsi que M365. La progression grimpe au maximum de 30% en passant de 20 000 à 26 000 $ pour un scénario d'usage lié à la divulgation d'informations multilocataires (cross-tenant information disclosure) sur les environnements Dynamics 365 et Power Platform.
Les récompenses pour les découvertes de trous de sécurité concernant Microsoft 365 ont également été revues à la hausse. A savoir +30% pour de l'exécution de code malveillant à distance (RCE), +20% dans le cas de leak de données sensibles multilocataires et multi-identités, ou encore +15% pour du contournement d'authentfication via du détournement de requête serveur (server-side request forgery). « Ces nouvelles primes s'inscrivent dans le cadre de nos efforts continus pour nous associer à la communauté des chercheurs en sécurité dans le cadre de l'approche holistique de Microsoft pour se défendre contre les menaces de sécurité », a expliqué l'éditeur.
Des perspectives de gains qui n'atteignent pas des sommets
Cette mise à jour du programme de bug bounty de Microsoft concerne des scénarios de compromission à fort impact de sécurité. Pour autant, des versements de prime de montants inférieurs peuvent toujours être versés : « si une vulnérabilité signalée ne se qualifie pas pour une prime dans le cadre des scénarios à fort impact, elle peut être éligible pour une prime dans le cadre des récompenses générales. Les soumissions éligibles recevront le prix de qualification le plus élevé », précise le groupe.
Dyanmics 365, Power Platform et Microsoft 365 sont loin d'être les programmes de chasse aux bugs les plus rémunérateurs. D'autres comme ceux relatifs en particulier à Azure, Windows Insider Preview ou encore Hyper-V atteignent des sommes bien plus élevées avec respectivement 40 000$, 100 000$ et 250 000$.