La firme de Redmond a mis longtemps à se mettre aux programmes de Bug Bounty mais semble y avoir pris goût et ouvre une nouvelle chasse aux bugs de sécurité : Microsoft Online Services Bug Bounty Program.
Hackers et chercheurs en sécurité tiers sont sollicités pour débusquer des vulnérabilités dans divers services en ligne. C'est Office 365 qui est le premier des groupes de services en ligne de Microsoft à essuyer les plâtres mais d'autres suivront.
Les domaines Internet concernés et les types d'exploits éligibles sont précisés ici. Le cas échéant, c'est un chèque au montant minimum de 500 $ que fera Microsoft au découvreur d'une vulnérabilité. Aucun plafond maximal n'est stipulé.
" Le but est de découvrir des vulnérabilités importantes qui ont un impact direct et démontrable pour la sécurité de nos utilisateurs et de leurs données ", écrit Microsoft.
À ce jour, Microsoft a déboursé plus de 253 000 $ dans le cadre de ses programmes de Bug Bounty afin de récompenser les trouvailles de chercheurs en sécurité. Des problèmes identifiés dans la préversion d'Internet Explorer 11 et le système d'exploitation Windows 8.1.
À deux reprises, les sommes de 100 000 $ ont été attribuées à deux chercheurs, non pas vraiment pour des vulnérabilités mais pour des techniques jugées innovantes et permettant de contourner les protections de Windows 8.1.
Le petit temple de la renommée des chercheurs en sécurité impliqués peut être consulté sur cette page.