La firme de Redmond a mis longtemps à se mettre aux programmes de Bug Bounty mais semble y avoir pris goût et ouvre une nouvelle chasse aux bugs de sécurité : Microsoft Online Services Bug Bounty Program.
Les domaines Internet concernés et les types d'exploits éligibles sont précisés ici. Le cas échéant, c'est un chèque au montant minimum de 500 $ que fera Microsoft au découvreur d'une vulnérabilité. Aucun plafond maximal n'est stipulé.
" Le but est de découvrir des vulnérabilités importantes qui ont un impact direct et démontrable pour la sécurité de nos utilisateurs et de leurs données ", écrit Microsoft.
À ce jour, Microsoft a déboursé plus de 253 000 $ dans le cadre de ses programmes de Bug Bounty afin de récompenser les trouvailles de chercheurs en sécurité. Des problèmes identifiés dans la préversion d'Internet Explorer 11 et le système d'exploitation Windows 8.1.
À deux reprises, les sommes de 100 000 $ ont été attribuées à deux chercheurs, non pas vraiment pour des vulnérabilités mais pour des techniques jugées innovantes et permettant de contourner les protections de Windows 8.1.
Le petit temple de la renommée des chercheurs en sécurité impliqués peut être consulté sur cette page.