Plusieurs compagnies IT comme Google ou Twitter disposent de programmes pour rechercher des erreurs de codage dans leurs solutions. Autrement appelé en anglais, Bug Bounty, cette sorte de concours récompense des spécialistes de la sécurité qui découvrent des failles dans les logiciels des éditeurs. Microsoft n’échappe à cette tendance avec différents programmes de ce type dont un pour Internet Explorer 11 (IE11).
Aujourd’hui, la société américaine présente sa formule pour les services en ligne, Bug Bounty Online Services. Et le premier produit à en bénéficier est Office 365. Une fois le bug présenté et validé, Microsoft annonce le paiement minimum de 500 dollars par erreur. La firme encadre néanmoins le type de vulnérabilités recherchées : Cross Site Scripting (XSS), Cross Site Request Forgery (CSRF), accès ou altération de données non autorisées de différents clients (pour le services multitenant), faille par injection, défaut d’authentification, exécution de code sur serveur, escalade de privilèges, mauvaise configuration significative de sécurité, etc.
Par ailleurs, seuls certains services seront éligibles au programme avec comme impératif une présence dans Office 365. C’est le cas notamment pour Outlook.com. La recherche de failles ne concernera que la solution activée dans la suite bureautique et collaborative en ligne. De même, Microsoft a écarté certains problèmes de sécurité comme les attaques en déni de service. L’éditeur estimant que cela encouragerait les hackers à tester des attaques par saturation, ce qui n’est pas la vocation du programme. Il écarte des failles qui ne s’attaqueraient qu’à des plugins ou des navigateurs peu utilisés, les vulnérabilités qui touchent des technologies indépendantes du service lui-même comme des failles Apache ou IIS par exemple.
Au final, la décision reviendra à Microsoft pour valider ou non une erreur proposée. Avec ce programme, il étoffe son offre à destination des spécialistes de la sécurité qui peuvent s’attaquer maintenant à la partie SaaS des produits. Une garantie de sécurité supplémentaire demandée par les RSSI, dont certains regrettent que l’aspect sécurité soit souvent exempt des contrats des fournisseurs de solutions Cloud.
A lire aussi :
La Cour des comptes attire l'attention sur le risque d'affaiblissement d'Etalab, privé, ces dernières années,…
Missions historiques de la Dinum, l'ouverture des données publiques et la promotion des logiciels libres…
Pour développer une version 7B de son modèle Codestral, Mistral AI n'a pas utilisé de…
L’Autorité de la concurrence et des marchés (CMA) britannique ouvre une enquête sur les conditions…
Thomas Gourand est nommé Directeur Général pour la France. Il est chargé du développement de…
Pour dissuader le CISPE d'un accord avec Microsoft, Google aurait mis près de 500 M€…