in

Microsoft offre 250 000$ à ceux qui dénicheront une faille dans Windows 10

Mercredi 26 juillet, Microsoft a lancé son programme Bounty destiné à repérer toute faille que pourrait contenir Windows 10. Signaler un défaut du logiciel autonome pourrait rapporter jusqu’à 250 000 dollars (213 502 euros) !

L’annonce publiée par la société précise les éléments clés du programme et identifie les versions de Windows pour lesquelles la découverte d’une faille est rémunérée. Le montant de la récompense attribuée augmente graduellement en fonction du domaine où est trouvée l’anomalie.

Crédits : Microsoft

L’entreprise souligne par ailleurs que le premier chercheur externe à découvrir une vulnérabilité déjà constatée en interne pourrait être récompensé jusqu’à 10 % de la somme la plus élevée qu’il aurait pu recevoir.

Le programme n’est pour l’instant pas limité dans le temps, mais la firme de Redmond formule néanmoins sa liberté d’en décider à tout moment.

Cette pratique n’est pas nouvelle pour la multinationale : en 2013, James Forshaw, chercheur en sécurité informatique, avait déjà empoché une prime de 100 000 dollars américains pour avoir découvert une faille cruciale dans le système d’exploitation Windows 8.1.

Aujourd’hui, Microsoft réitère cette « chasse aux bugs » en offrant la somme sans précédent de 250 000 dollars (213 502 euros) à ceux qui parviendront à repérer un exploit à Hyper V, le système de virtualisation Microsoft. En quelques mots, Hyper-V permet la création et la gestion d’ordinateurs virtuels au sein d’un environnement informatique. L’exploit correspond quant à lui à une erreur qui permettrait à un individu de s’introduire dans le système afin d’en tirer profit de manière inappropriée. 

Pour les failles décelées dans les autres programmes, le montant de la prime est toujours relatif au caractère critique du défaut avec un plafond très généreux de 200 000 dollars pour le programme « Mitigation bypass and Bounty for defense ».

Les Géants du Web à l’instar de Google, Facebook ou encore Yahoo externalisent également la recherche de vulnérabilité depuis plusieurs années. Ce procédé s’est aujourd’hui démocratisé : plusieurs centaines de compagnies l’utilisent sous l’appellation de « Bug Bounty ». Ces « chasses aux bugs » permettent aux entreprises du numérique de corriger les brèches de sécurité avec que celles-ci ne soient rendues publiques, renforçant ainsi la sûreté de leurs services.

Sources : Microsoft ; The Guardian ; ITespresso ;