Bug Bounty : Microsoft a versé 13 millions de dollars l’année passée
Microsoft a révélé avoir attribué à 341 chercheurs un total de 13,6 millions de dollars au cours de l’année écoulée, pour avoir signalé des failles de sécurité dans le cadre de ses programmes de bug bounty.
Un total légèrement inférieur à celui de 2019
Les récompenses ont été attribuées entre le 1er juillet 2020 et le 30 juin 2021, et sont légèrement inférieures au total versé en 2019. En 2019, Microsoft avait triplé les récompenses par rapport à l’année précédente.
La récompense la plus importante était de 200 000 dollars, dans le cadre du Hyper-V Bounty Program, le programme de Microsoft pour sa couche de virtualisation sur Windows 10, Windows Server 2016 et les conteneurs pour exécuter des applications Windows et Linux dans le cloud.
« Avec une moyenne de plus de 10 000 dollars par récompense dans l’ensemble des programmes, chacun des plus de 1 200 rapports éligibles reflète le talent et la créativité de la communauté mondiale des chercheurs en sécurité et leur aide inestimable pour relever les défis d’un environnement de sécurité en constante évolution », affirme le Microsoft Security Response Center (MSRC) dans un billet de blog.
De nouveaux programmmes de bug bounty
Microsoft a lancé quelques nouveaux programmes de bug bounty cette année, dont un pour Microsoft Teams, avec des récompenses allant jusqu’à 30 000 dollars pour les rapports de bugs critiques. L’autre programme est destiné à une future norme potentielle de cryptographie post-quantique appelée Supersingular Isogeny Key Encapsulation (SIKE).
Microsoft dispose actuellement de 17 programmes de bug bounty permettant aux chercheurs de gagner des récompenses. Le programme Hyper-V offre la récompense la plus importante, montant jusqu’à 250 000 dollars.
Le programme Microsoft Identity bounty est également important et couvre Microsoft Account, Azure Active Directory ou certains standards OpenID. La récompense la plus élevée est de 100 000 dollars. Certains chercheurs en sécurité peuvent gagner des sommes considérables – voire des millions – grâce aux programmes de bug bounty.
Source : ZDNet.com
