Solution incontournable pendant la crise sanitaire, Teams n’a pas eu à souffrir de problèmes de sécurité comme son concurrent Zoom. Pour autant, Microsoft ne prend pas ce sujet à la légère et vient de lancer un bug bounty pour sa plateforme de collaboration. Dans un blog, le groupe précise que ce programme s’appliquera uniquement sur l’application desktop de Teams, disponible sur Windows 10, macOS et Linux.
Le programme de recherche de failles promet entre 6 000 à 30 000 dollars de récompenses aux hackers découvrant des scénarios de vulnérabilités. Microsoft a dressé les PoC éligibles à ce programme. La prime la plus élevée porte sur un exploit d’exécution de code à distance sans interaction de l’utilisateur. 15 000 $ seront offerts à ceux ou celles qui créeront un scénario d’attaque pour obtenir les éléments d’authentification d’autres utilisateurs, mais la technique de phishing est exclue.
Scénarios et découvertes de failles récompensés
Une autre gratification de 10 000 $ porte sur les failles de type XSS (cross-site scripting) ou d’autres types d’injection de code à distance sur teams.microsoft.com ou teams.live.com sans interaction avec l'utilisateur. Avec une faible interaction, ce scénario ne vaudra que 6 000 dollars de prime. 10 000 $ seront aussi versés pour des chercheurs trouvant des vulnérabilités entrainant une élévation de privilège pouvant toucher les OS (y compris macOS updater). Le recours aux techniquex de déni de service n’est pas autorisé.
En dehors des scénarios, Microsoft propose de gratifier aussi les failles découvertes sur l’application desktop de Teams. Dans ce cas-là, la prime la plus élevée est de 15 000 dollars et porte sur une RCE jugée comme critique et de bonne qualité. Une élévation de privilège critique peut rapporter 8 000 dollars tout comme l’exfiltration de données. Avec ce bug bounty, Microsoft veut donc renforcer la sécurité de son application Teams. Il est probable que ce programme s’étende à la version mobile (iOS et Android) du logiciel.