MS, tous les bénéficiaires des récompenses pour services en ligne sont inclus… l'étendue de la chasse aux bugs est largement élargie

Microsoft(MSFT) annonce une extension majeure de la portée de son programme de récompenses pour vulnérabilités. Désormais, toutes les vulnérabilités de sécurité des services en ligne seront automatiquement incluses dans le programme de récompenses, et les problèmes rencontrés dans les logiciels open source et tiers seront également évalués sans exception.

Le cœur de cette réforme réside dans l’introduction de la politique de “prise en compte par défaut”. Selon cette politique, les nouveaux services en ligne de Microsoft deviennent dès leur lancement des cibles de récompense pour vulnérabilités, et les millions de services existants peuvent également en bénéficier sans procédure d’approbation supplémentaire. En éliminant la nécessité de définir manuellement la portée des produits, les chercheurs en sécurité peuvent réduire considérablement le temps consacré à déterminer quels vulnérabilités sont valides.

Tom Gallagher, vice-président de l’ingénierie du Microsoft Security Response Center(MSRC), souligne que cette extension n’est pas une simple modification administrative, mais une réforme structurelle. Il déclare : “Maintenant, tous les services sont automatiquement inclus dans la portée, ce qui permet aux chercheurs de se concentrer sur les vulnérabilités ayant un impact réel sur les clients, et de signaler plus rapidement.” De plus, Microsoft prévoit de collaborer plus activement avec les chercheurs pour corriger ou maintenir les problèmes issus de codes tiers ou open source.

Depuis longtemps, le programme de récompenses pour vulnérabilités a été critiqué pour ses limites floues ou excessives dans la délimitation de la portée, ce qui a suscité la confusion chez les chercheurs et freiné leur activité. À ce sujet, Martin Jätlius, directeur des produits IA de la société de sécurité Outpost24, déclare : “Cette initiative couvre l’ensemble de l’exposition aux vulnérabilités de l’entreprise, ce qui constitue une avancée importante.” Il accueille favorablement cette démarche, tout en avertissant : “Les attaquants ne se soucient pas de l’origine du code. Qu’il s’agisse de cadres comme React-to-Shell ou des produits de Microsoft, s’ils peuvent être compromis, ils essaieront.”

Les prévisions du secteur indiquent qu’au début, cette démarche pourrait entraîner une augmentation des paiements de récompenses par Microsoft. Cependant, l’analyse estime qu’avec l’amélioration globale du niveau de sécurité, à long terme, cela offrira un rapport coût-efficacité très élevé. En couvrant de façon exhaustive les vulnérabilités ayant un impact direct sur les utilisateurs et les clients d’entreprise, Microsoft vise à renforcer la crédibilité globale de son écosystème de sécurité basé sur le cloud.