Coup sur coup, deux géants du Net ont décidé de lancer une chasse aux bugs rémunérée pour certains de leurs produits. Intel propose jusqu'à 30 000 dollars pour ses logiciels, firmwares et matériels, contre 15 000 dollars chez Microsoft pour Office.
Au fil des mois, de nouvelles failles de sécurité remontent régulièrement à la surface, certaines récentes, d'autres en place depuis des années. Et encore, nous ne parlons que des brèches publiquement identifiées, pas celles qui sont précieusement mises de côté par des agences de renseignements. Une problématique que nous avons déjà abordée lors des révélations d'Edward Snowden et de Wikileaks, notamment avec la récente affaire Vault 7.
Afin de prévenir les risques et pousser la communauté à chercher et remonter des failles en direct, plusieurs sociétés ont mis en place des programmes de chasses au bug récompensés ou Bug Bounty. Cela leur permet non seulement d'être informés, mais aussi de les corriger avant qu'elles ne soient rendues publiques ; la sécurité des utilisateurs est ainsi renforcée.
Intel propose jusqu'à 30 000 dollars
Apple s'est lancé dans l'aventure à l'automne dernier, tandis que Netgear a sauté le pas en début d'année après la découverte d'une faille critique sur des routeurs. Aujourd'hui, un nouvel acteur profite de la conférence CanSecWest 2017 de Vancouver pour entrer dans la danse : Intel.
Sont concernés par cette chasse aux bugs les logiciels, les firmwares, ainsi que le matériel. Les failles sur les produits Intel Security (McAfee), les solutions open source, l'infrastructure ainsi que les acquisitions récentes (moins de 6 mois) ne sont par contre pas éligibles.
« Plus une vulnérabilité est difficile à atténuer, plus nous payons » explique Intel. Les sommes varient entre 500 et 30 000 dollars, et tous les détails se trouvent par ici :
Offre à durée limitée chez Microsoft : jusqu'à 15 000 dollars pour Office Insider
De son côté, Microsoft relance une opération temporaire qu'il avait déjà mise sur pied pour son navigateur Spartan (Edge) et Internet Explorer 11 : une chasse aux bugs rémunérée pour la version desktop d'Office via le programme Insider, mais pendant trois mois seulement. Celle-ci est en effet valable du 15 mars au 15 juin 2017, avec une récompense allant de 500 à 15 000 dollars.
Cela concerne aussi bien Outlook, que Word, Excel, PowerPoint, etc. Pour être éligible, une faille doit être fonctionnelle sur un Windows 10 mis à jour et doit être reproductible sur la build Insider d'Office la plus récente du « slow ring ». Tous les détails sont disponibles par là.
Sachez enfin que ce n'est pas le seul produit qui propose un Bug Bounty. D'autres sont également en place, notamment pour .NET et Edge. Vous trouverez la liste de ceux encore en activité, ainsi que leur date de fin par ici.
Commentaires (5)
oui enfin si on trouve une faille c’est plus rentable de la vendre sur le darknet que de demander leur trop modeste prime.
bha tu fais les deux
" /> avec un certain intervalle entre ^^
ça marche la vieille faille dans l’office ou quand tu avait une machine en NT4 sans accès à l’explorateur via les gpo, il suffisait d’aller dans word->fichier->ouvrir et la aller chercher explorer.exe et se coller un raccourcit ?
C’est vieux mais ça vaut bien quelques euros.
En plus dans ce cas là c’est surtout les “méchants” que tu truande donc pas d’état d’âme ;)