Plusieurs compagnies IT comme Google ou Twitter disposent de programmes pour rechercher des erreurs de codage dans leurs solutions. Autrement appelé en anglais, Bug Bounty, cette sorte de concours récompense des spécialistes de la sécurité qui découvrent des failles dans les logiciels des éditeurs. Microsoft n’échappe à cette tendance avec différents programmes de ce type dont un pour Internet Explorer 11 (IE11).
Aujourd’hui, la société américaine présente sa formule pour les services en ligne, Bug Bounty Online Services. Et le premier produit à en bénéficier est Office 365. Une fois le bug présenté et validé, Microsoft annonce le paiement minimum de 500 dollars par erreur. La firme encadre néanmoins le type de vulnérabilités recherchées : Cross Site Scripting (XSS), Cross Site Request Forgery (CSRF), accès ou altération de données non autorisées de différents clients (pour le services multitenant), faille par injection, défaut d’authentification, exécution de code sur serveur, escalade de privilèges, mauvaise configuration significative de sécurité, etc.
Par ailleurs, seuls certains services seront éligibles au programme avec comme impératif une présence dans Office 365. C’est le cas notamment pour Outlook.com. La recherche de failles ne concernera que la solution activée dans la suite bureautique et collaborative en ligne. De même, Microsoft a écarté certains problèmes de sécurité comme les attaques en déni de service. L’éditeur estimant que cela encouragerait les hackers à tester des attaques par saturation, ce qui n’est pas la vocation du programme. Il écarte des failles qui ne s’attaqueraient qu’à des plugins ou des navigateurs peu utilisés, les vulnérabilités qui touchent des technologies indépendantes du service lui-même comme des failles Apache ou IIS par exemple.
Au final, la décision reviendra à Microsoft pour valider ou non une erreur proposée. Avec ce programme, il étoffe son offre à destination des spécialistes de la sécurité qui peuvent s’attaquer maintenant à la partie SaaS des produits. Une garantie de sécurité supplémentaire demandée par les RSSI, dont certains regrettent que l’aspect sécurité soit souvent exempt des contrats des fournisseurs de solutions Cloud.
A lire aussi :
Dans un avis consultatif, l'Autorité de la concurrence a identifié les risques concurrentiels liés à…
OpenAI signe un « partenariat de contenu stratégique » avec Time pour accéder au contenu…
Au lendemain du rejet de sa proposition de restructuration, David Layani annonce sa démission du…
Après un an, Hugging Face a revu les fondements de son leaderboard LLM. Quels en…
Mozilla commence à expérimenter divers LLM dans Firefox, en parallèle d'autres initiatives axées sur l'intégration…
VMware met VCF à jour pour y favoriser la migration des déploiements qui, sur le…