Fin juin, Microsoft a surpris en lançant des programmes de récompenses pour la découverte et le rapport de problèmes de sécurité affectant la préversion du navigateur Internet Explorer 11 et le système d'exploitation Windows 8.1. De quoi resserrer des liens parfois tendus avec la communauté des chercheurs en sécurité.
La firme de Redmond a indiqué avoir reçu " quelques soumissions ". Une évaluation est actuellement en cours mais Microsoft parle d'une vraie satisfaction. " Notre stratégie pour attirer des chercheurs afin qu'ils nous signalent directement les problèmes plus tôt dans le cycle de développement fonctionne déjà. "
Le vrai Bug Bounty Program est celui qui concerne Internet Explorer 11 Preview avec à la clé de 500 à 11 000 dollars pour des failles dûment rapportées et en fonction de leur qualité et complexité. Débuté le 26 juin, ce programme ne dure qu'un mois et prendra ainsi fin le 26 juillet prochain.
Il est aussi intéressant pour l'utilisateur final car il a lieu en amont de la publication grand public d'Internet Explorer 11. Il comble par ailleurs un vide dans la mesure où d'autres Bug Bounty Programs ne rémunèrent pas pour des vulnérabilités dans un produit en bêta.
Microsoft a recours au terme Blue Hat pour faire référence aux chercheurs en sécurité tiers qui débusquent des exploits avant le lancement d'un produit.
Pour Windows 8.1, les récompenses peuvent monter jusqu'à 100 000 dollars ! Microsoft parle néanmoins de Mitigation Bypass Bounty et n'a pas fixé de date de fin pour ce programme. La grosse somme est déboursée pour une technique d'exploitation innovante capable de prendre à défaut les défenses du système d'exploitation.
