Microsoft pérennise sa chasse aux bugs et propose jusqu’à 250 000 dollars

Après avoir plusieurs fois lancé des programmes de chasse aux bugs temporaires, Microsoft vient de le rendre permanent pour Windows et autres projets liés. Dans un monde où les failles de sécurité deviennent une marchandise comme les autres, l’éditeur a décidé de frapper fort sur les montants.

Lançant un appel à tous les « amis de Microsoft, hackers et chercheurs », la firme a annoncé hier soir son premier bug bounty permanent pour Windows. Jusqu’à présent, elle ne l’avait fait que pour certaines phases, quand il s’agissait par exemple de traquer les erreurs dans un laps de temps limité, parfois même sous forme de concours.

L’installation du plan permanent répond à des besoins en termes de sécurité devenus bien plus pressants. Et pour être certaine que son programme sera visible, l’entreprise l’a doté de sommes potentiellement rondelettes.

Jusqu’à 250 000 dollars

Les chiffres n’ont pas grand-chose à voir avec ceux annoncés récemment par l’équipe du projet Tor. Là en effet où cette dernière ne peut grimper que jusqu’à 4 000 dollars, Microsoft peut en aligner 250 000.

Ce chiffre, on s’en doute, ne sera obtenu que sous certaines conditions. Dans la grande majorité des cas, on se trouve face à des sommes beaucoup plus classiques pour les grandes sociétés américaines : jusqu’à 15 000 dollars pour des failles dans Windows et Edge, à condition qu’elles soient trouvées dans le canal Lent du programme Insider.

Voici cependant la liste des cas particuliers :

• Windows Defender Application Guard : de 500 à 30 000 dollars
• Contournement d’une mesure d’atténuation (mitigation bypass) : de 500 à 100 000 dollars
• Idée de défense contre un contournement : de 500 à 100 000 dollars (cumulables avec la précédente prime)
• Hyper-V : de 500 à 250 000 dollars

Les chiffres donnent la direction

Les sommes versées sont potentiellement beaucoup plus élevées que bien d’autres programmes. Même chez Apple ou Google, il est rare que plus de 30 000 dollars soient offertes au découvreur de la brèche. De fait, la liste donnée par Microsoft donne des informations intéressantes.

D’une part, les 250 000 dollars ne concernant qu’Hyper-V, l’hyperviseur maison, en charge du fonctionnement des machines virtuelles et conteneurs. Quand on sait combien ces deux techniques sont utilisées aujourd’hui – particulièrement en environnement serveur – on comprend que Microsoft souhaite s’assurer que ce composant critique ne recèle pas de mauvaise surprise.

D’autre part, les sommes sortant de l’ordinaire sont pour des composants et comportements liés aux dernières annonces de Microsoft dans le domaine de la sécurité. Application Guard en l’occurrence n’est pas nouveau, mais sera renforcé dans la prochaine Fall Creators Update de Microsoft. Même pour les techniques d’atténuation.

Ces dernières sont amenées à jouer un rôle grandissant dans les mois qui viennent. D’abord parce qu’une bonne partie des fonctionnalités d’EMET (Enhanced Mitigation Experience Toolkit) seront intégrées dans Windows 10 via la FCU cet automne. Ensuite parce que Microsoft vend aux entreprises un service visant justement à repérer les comportements louches sur les réseaux et avertir en cas de problème, avant de proposer des solutions.

Quelle que soit le composant concerné, le découvreur d’une faille devra en envoyer les détails à Microsoft via cette adresse : [email protected].

Éternelle question : les sommes seront-elles suffisantes ?

En rendant permanent le programme, Microsoft s’assure une visibilité, largement augmentée par l’ampleur des chiffres annoncés. On notera cependant que les 15 000 dollars pour Windows et Edge sont alignés avec les sommes proposées dans les bug bounties précédents.

La question dans ce genre de cas est cependant toujours la même : 250 000 dollars seront-ils suffisants pour motiver les chercheurs à communiquer leurs découvertes à Microsoft, et pas à une entreprise comme Zerodium ? Car si 250 000 dollars reste dans tous les cas une somme très élevée, elle ne pèsera pas lourd si le chercheur peut en obtenir un million de dollars ou plus.

C’est ce que sont devenues les failles de sécurité : une marchandise. Elles font l’objet d’accords commerciaux avec des entreprises qui ont fait de leur collecte une véritable activité. Aucune loi n’empêche de faire de telles réserves, au point que l’US Navy avait en toute bonne foi publié une annonce pour acheter des failles 0-day. Le FBI avait payé plus de 1,3 million de dollars une faille de sécurité lui ouvrant les portes d’un iPhone 5c impliqué dans une enquête antiterroriste. Une situation qui illustre le vaste problème du stockage des failles par les États. 

Au cours des dernières années, ces programmes de chasse aux bugs se sont multipliés, et ce n’est pas un hasard. Les grandes entreprises du cloud comme Apple, Google et Microsoft ont fait face à une chute globale de la confiance des utilisateurs et une bonne partie de leur communication a dû être adaptée. Lançant des procédures contre le gouvernement américain pour divers motifs (exemples : 1, 2, 3), elles essayent maintenant de motiver financièrement ceux qui sont en mesure de trouver des brèches. Chaque vulnérabilité colmatée représente un danger de moins, l’équation étant très simple.

Le seul point finalement qui n’est pas abordé est la manière dont les auteurs des découvertes seront crédités. Actuellement, ces derniers figurent dans les bulletins de sécurité accompagnant chaque faille traitée, sur TechNet. À voir donc si ces mentions seront désormais accompagnées des sommes versées.