Microsoft a été très actif depuis la découverte le 3 janvier dernier des vulnérabilités Meltdown et Spectre. Et il apparaît l'être tout autant pour mettre à jour de nouvelles failles comparables, c'est-à-dire reposant sur l'exécution spéculative CPU. La firme de Redmond vient ainsi de lancer le programme de chasse aux bugs « Speculative Execution Bounty Program », courant jusqu'au 31 décembre 2018, et offrant d'alléchantes dotations pouvant aller jusqu'à 250 000 dollars.
Le bug bounty de Microsoft se répartit en quatre catégories. A savoir Tier 1 (nouvelles classes d'attaques d'exécution spéculative), Tier 2 (contournement d'atténuation d'exécution spéculative Azure), Tier 3 (contournement d'atténuation d'exécution spéculative Windows) ainsi que Tier 4 (instance d'une vulnérabilité d'exécution spéculative connue dans Windows 10 ou Edge). A noter que contrairement aux trois premières catégories du programme de chasse aux bugs, la dernière voit sa récompense plafonner à 25 000 dollars.
Des résultats de recherche partagées
« L'exécution spéculative est vraiment une nouvelle classe de vulnérabilités, et nous nous attendons à ce que des recherches soient déjà en cours pour explorer de nouvelles méthodes d'attaque. Ce programme de primes vise à favoriser cette recherche et la divulgation coordonnée des vulnérabilités liées à ces problèmes », a expliqué Microsoft. « Les vulnérabilités d'exécution spéculative nécessitent une réponse de l'industrie. À cette fin, Microsoft partagera, en vertu des principes de la divulgation coordonnée des vulnérabilités, la recherche qui nous a été divulguée dans le cadre de ce programme afin que les parties concernées puissent collaborer pour trouver des solutions à ces vulnérabilités. Avec les chercheurs en sécurité, nous pouvons construire un environnement plus sûr pour les clients. »