IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

Bug Bounty : Microsoft étend son programme à .NET Core et ASP.NET Core


Sujet :

Sécurité

  1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Webmaster
    Inscrit en
    Janvier 2014
    Messages
    1 089
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Webmaster
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Janvier 2014
    Messages : 1 089
    Points : 26 557
    Points
    26 557
    Par défaut Bug Bounty : Microsoft étend son programme à .NET Core et ASP.NET Core
    Bug Bounty : Microsoft récompense jusqu’à 15 000 dollars
    la découverte de failles sur les versions bêta de .Net CoreCLR et d'ASP.NET 5

    Microsoft vient de lancer un nouveau programme de récompense pour la découverte de vulnérabilités affectant .Net Core CLR et les versions bêta d'ASP.NET 5 sorties avec Visual Studio 2015 et tournant sur Windows, Linux et Mac OS.

    Pour être éligible, il faut être âgé d’au moins 14 ans, participer pour son propre compte ou travailler pour une organisation qui vous permette de postuler et enfin ne pas tomber dans les critères d’inéligibilité.

    Une fois toutes ces conditions remplies, le participant peut soumettre ses vulnérabilités découvertes et non encore rapportées sur la toute dernière version bêta ou RC de Microsoft CoreCLR, ASP.NET et les templates ASP.NET 5 par défaut fournis avec ASP.NET Web Tools extension pour Visual Studio 2015.

    Les bogues trouvés et qualifiés comme recevables par Microsoft peuvent être par exemple des contournements de protection CSRF (Cross-Site Request Forger) ou simplement l’exploitation d’une vulnérabilité sur les services d’authentification web, des contournements d’authentification, l’exécution de code distant, les échecs de protection des données, des fuites d’informations, des élévations de privilège, etc.

    Une fois les bogues trouvés, le requérant doit produire une preuve de concept pour chaque vulnérabilité signalée à Microsoft. En retour, Microsoft s’engage à payer un montant allant de 500 dollars à 15 000 dollars selon la complexité de la faille rapportée.

    Le montant le plus élevé est réservé aux vulnérabilités permettant l’exécution de code à distance accompagnées d’un rapport de haute qualité décrivant l’exécution du code malveillant. Au bas de l’échelle, nous avons la faille de type Cross Site Scripting (XSS) ou CSRF qui doit être accompagnée d’un rapport de qualité basse afin que l’auteur de la découverte puisse bénéficier d’un montant minimum de 500 dollars.

    Microsoft souligne par ailleurs « qu’il n’y a pas de restrictions sur le nombre de candidatures qualifiées qu’un émetteur individuel peut fournir et être payé en retour ». En outre, toutes les personnes qui remporteront des récompenses dans ce programme Bug Bonty verront leur nom être affiché sur la page de Microsoft Bounty Honor Roll en guise de reconnaissance.

    Il faut noter que Microsoft n’est pas à son premier programme Bug Bounty. En novembre 2013, la firme a initié les programmes Mitigation Bypass Bounty et the Bounty for Defense afin de récompenser à hauteur de 100 000 dollars de nouvelles techniques d’exploitation et de défense vis-à-vis de la récente version de son système d’exploitation.

    En septembre 2014, ce fut le programme Online Services Bug Bounty qui fut ouvert afin de récompenser les individus rapportant des failles éligibles sur Online Services (O365 et Microsoft Azure).

    Et en avril 2015, Microsoft a annoncé une extension au programme Online Services Bug Bounty afin d’inclure diverses propriétés d’Azure dans le programme et en a également profité pour lancer le programme Microsoft Edge Preview Bug Bounty.

    Pour ce qui concerne ce nouveau Bug Bounty CoreCLR et ASP.NET 5 Technical Preview, il a démarré depuis le 20 octobre et prendra fin le 20 janvier de l’an prochain.

    Source : Microsoft

    Et vous ?

    Que pensez-vous de ce programme ?

    Voir aussi

    Forum sécurité

  2. #2
    Chroniqueur Actualités

    Homme Profil pro
    Webmaster
    Inscrit en
    Janvier 2014
    Messages
    1 089
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Webmaster
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Janvier 2014
    Messages : 1 089
    Points : 26 557
    Points
    26 557
    Par défaut Bug Bounty : Microsoft étend son programme à .NET Core et ASP.NET Core
    Bug Bounty : Microsoft étend son programme à .NET Core et ASP.NET Core
    et offre jusqu’à 15 000 dollars pour les failles découvertes

    Pour assurer la sécurité de leurs applications et systèmes, les entreprises s’entourent de divers moyens de protection. Nombreuses sont celles qui classiquement engagent en leur sein des personnes ressources afin d’assurer cette veille contre les tiers malveillants.

    D’autres pour leur part préfèrent externaliser ce domaine en le confiant à des entreprises tierces beaucoup plus outillées afin d’assurer leur cybersécurité. D’autres encore, estimant qu’on n’est jamais de trop lorsqu’il s’agit d’expertise en matière de sécurité, n’hésitent pas en plus des moyens internes déjà existants, à mettre en place des programmes de récompenses afin d’amener les experts en sécurité et autres intelligences à les aider dans leur combat contre les failles de sécurité.

    Microsoft qui n’est pas en reste dans ce domaine a depuis longtemps mis en place plusieurs programmes de récompenses de failles découvertes (Microsoft Bounty Programs) pour assurer la sécurité des programmes tels qu’Internet Explorer, Microsoft Edge, la préversion de Nano Server et bien plus encore.

    Dans le souci d’améliorer la sécurité de ses nouveaux produits, Microsoft vient d’annoncer depuis le 1er septembre dernier l’ouverture d’un nouveau programme de récompenses de failles découvertes pour .Net Core et ASP.NET Core.

    Nous rappelons que .Net Core est une plateforme open source modulaire permettant de créer des applications web, des microservices, des bibliothèques et des applications console. ASP.Net Core quant à lui est un framework web open source utilisé pour concevoir des applications web capables de fonctionner aussi bien sur Windows, Linux et Mac OS X. Ces deux produits sont sortis en version finale dans le mois de juillet dernier.

    Aussi, pour garantir une meilleure détection des failles, Microsoft offre des primes allant de 500 dollars à 15 000 dollars pour la découverte de failles importantes ou critiques dans les versions finales de ces deux produits ainsi que les versions bêta ou RC.

    Par ailleurs, les failles découvertes dans le nouveau serveur web multiplate-forme Kestrel basé sur libuv ainsi que dans les templates par défaut d’ASP.Net fournis avec les extensions d’outils web d’ASP.Net pour Visual Studio 2015 ou supérieur sont également prises en compte dans ce programme de bug bounty.

    Il faut noter que ce programme de rétribution de failles découvertes qui a débuté depuis le 1er septembre concerne les versions Windows et Linux d’ASP.NET et .Net Core. Aucune date limite n’a été communiquée. Il est donc ouvert jusqu’à ce que Microsoft fasse un communiqué pour marquer sa fin. Nous précisons en outre que plusieurs autres programmes de récompenses de failles sont en cours sans aucune date limite. Nous avons par exemple les programmes de bug bounty pour Office 365, Microsoft Azure et Microsoft Edge.

    Source : Blog Microsoft

    Et vous ?

    Quelle est votre opinion sur ce genre de programmes ?

    Voir aussi

    Bug Bounty : Microsoft récompense jusqu'à 15 000 dollars la découverte de failles sur les versions bêtas de .Net CoreCLR et d'ASP.NET 5

Discussions similaires

  1. Easy Trade Up : Microsoft offre jusqu'à 100 euros de récompense
    Par Stéphane le calme dans le forum Windows 10
    Réponses: 8
    Dernier message: 23/10/2015, 22h47
  2. Bug Bounty : Microsoft double les primes
    Par Michael Guilloux dans le forum Sécurité
    Réponses: 0
    Dernier message: 07/08/2015, 18h23
  3. Google offre près de 40000 USD avec son nouveau programme de récompenses
    Par Olivier Famien dans le forum Développement Mobile en Java
    Réponses: 1
    Dernier message: 17/06/2015, 15h24
  4. Le Projet Spartan agrandit la liste du Bug Bounty Program de Microsoft
    Par Stéphane le calme dans le forum Sécurité
    Réponses: 0
    Dernier message: 23/04/2015, 12h10
  5. Réponses: 0
    Dernier message: 03/03/2010, 12h32

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo