Microsoft paie deux fois plus de bug bounty que Google en 2019 : 13,7 millions de dollars

Spread the love

Microsoft vient de révéler avoir accordé 13,7 millions de dollars à des chercheurs en sécurité pour avoir signalé des bogues dans les logiciels Microsoft depuis juillet de l’année dernière.

Les primes de Microsoft pour faire la chasse aux bugs sont l’une des principales sources de financement pour les chercheurs qui recherchent des défauts dans les logiciels et, surtout, qui les signalent au fournisseur concerné plutôt que de les vendre à des cybercriminels via des marchés clandestins ou à des courtiers  qui les distribuent ensuite aux agences gouvernementales.

La société de Redmond a mis en place 15 programmes de bug bounty grâce auxquels les chercheurs ont gagné 13,7 millions de dollars entre le 1er juillet 2019 et le 30 juin 2020. Ce chiffre est le triple des 4,4 millions de dollars qu’elle a accordé au cours de la même période l’année précédente.

publicité

Lutter contre les failles Zero-Day

“Les chercheurs qui consacrent du temps à découvrir et à signaler les problèmes de sécurité avant qu’ils ne soient exploités ont gagné notre respect et notre gratitude”, ont déclaré les membres du Microsoft Security Response Center dans un billet de blog.

Les failles signalées à Microsoft et à d’autres fournisseurs par le biais de programmes de bug bounty peuvent contribuer à réduire le nombre d’exploits dits “zero-day” que les attaquants peuvent utiliser pour compromettre les systèmes avant qu’un fournisseur ne fournisse un correctif de sécurité. La fourniture de correctifs aux contribue également à protéger les systèmes contre les attaques après que la vulnérabilité ait été révélée.

Le montant total des primes annuelles de Microsoft pour rechercher des bugs est désormais beaucoup plus élevé que les primes de Google pour rechercher des failles de sécurité dans ses logiciels, qui s’élevaient à 6,5 millions de dollars pour l’année 2019. Ce chiffre représente le double des sommes versées l’année précédente par le géant de la publicité, qui a qualifié cette année de “record”.

Microsoft, collectionneur de failles

L’augmentation des dépenses de Microsoft pour le versement des bugs bounty pourrait être justifiée, selon de nouvelles données publiées par l’équipe sécurité de Google, Google Project Zero ou GPZ.

Cette semaine, GPZ a révélé qu’il y a eu 11 vulnérabilités de type “zero-day” exploitées au cours du premier semestre de l’année. La découverte de ces exploits est rare : Microsoft a corrigé 115 vulnérabilités au cours du seul mois de mars. Mais les logiciels de Microsoft constituent 4 des 11 exploits que Google a découvert en 2020.

Les failles chez Microsoft comprenaient un bug d’Internet Explorer, CVE-2020-0674, que Microsoft a corrigé en février. Puis il y a eu trois autres bugs de corruption de la mémoire de Windows qui ont été exploités avant que les correctifs de Microsoft ne soient publiés.

L’effet confinement sur la recherche de failles

En 2019, selon les statistiques du GPZ, 11 des 20 “zero-day” ont touché les produits Microsoft, ce qui est beaucoup plus élevé que les “zero-day” exploitées par tout autre fournisseur, y compris Google.

Cependant, Google note qu’il y a un biais de détection en défaveur de Microsoft car il existe davantage d’outils de sécurité spécialisés dans la détection des bugs sur Windows.

Selon Microsoft, les versements plus élevés cette année s’expliquent par le lancement de six nouveaux programmes de bug bounty. Ceux-ci ont collecté plus de 1 000 rapports en provenance de plus de 300 chercheurs. Microsoft suggère également que la distanciation sociale et le confinement du à la COVID-19 a provoqué une hausse des activités de recherche de sécurité.

Les programmes de bug bounty que Microsoft a lancé pendant cette période sont :

Leave a Reply