Le programme de bug bounty de Microsoft s’étend régulièrement. En octobre dernier, elle offrait des primes pour la découverte de bugs sur son logiciel électoral. En janvier, l’enseigne a annoncé le même programme de bug bounty pour les services Xbox.
Cette fois, Microsoft offre jusqu’à 100 000 dollars pour la découverte de failles dans Azure Sphere, son système d’exploitation orienté IoT et fonctionnant sous Linux.
Renforcer la sécurité d’Azure Sphere
Microsoft a conçu Azure Sphere pour qu’il repose sur des microcontrôleurs certifiés par l’entreprise et spécialisés dans l’Internet des objets (IoT). Introduit pour la première fois en 2018 et rendu disponible en février dernier, ce système d’exploitation doit permettre d’exécuter des tâches spécifiques dans un environnement sécurisé.
Microsoft veut donc s’assurer que cette sécurité est à toute épreuve. L’enseigne a engagé son programme de récompenses pour cela. Pour prétendre à une récompense, les pirates devront parvenir à pénétrer le dispositif d’Azure Sphère dédié à la sécurité, le sous-système Pluton. Ils pourront également chercher à atteindre Secure World, l’environnement d’exploitation sécurisé du sous-système ARM Cortex-A.
Jusqu’à 100 000 dollars de récompenses
Le programme, qui se tiendra du 1er juin au 31 août, se concentrera donc sur le système d’exploitation lui-même, et non sur le service Cloud qui y est associé. Si les conditions sont remplies, l’enseigne pourra remettre jusqu’à 100 000 dollars de récompenses pour la découverte de failles logicielles. Selon le caractère critique du problème découvert, la récompense pourra être majorée de 10% à 20%. La participation nécessite une inscription sur la page dédiée du Microsoft Security Response Center. Une fois celle-ci terminée, Microsoft fournira le DevKit d’Azure Sphere, de la documentation et un contact direct avec ses équipes.
Sylvie Liu, responsable du programme de sécurité au Microsoft Security Response Center, a déclaré dans un billet de blog : « Microsoft reconnaît que la sécurité n’est pas un événement unique. Les risques doivent être réduits de façon cohérente tout au long de la durée de vie d’un éventail croissant d’appareils et de services. Faire participer la communauté de chercheurs en sécurité à la recherche de vulnérabilités avant que les pirates ne le fassent fait partie de l’approche holistique adoptée par Azure Sphere pour réduire le risque ».
Pour son programme, Microsoft fait également participer d’autres grandes entreprises de la cybersécurité, comme Avira, BitDefender ou McAfee.
Source : The Verge, ThreatPost
VOUS POUVEZ EN APPRENDRE PLUS SUR MICROSOFT 365 ICI
VOUS POUVEZ EN APPRENDRE PLUS SUR MICROSOFT TEAM ICI