En parallèle, Microsoft a décidé de doubler la prime maximum offerte à ceux qui sont en mesure de repérer des failles critiques dans la sécurité de son nuage. Le montant de cette prime passe de 20 000 à 40 000 dollars américains, soit environ 35 600 euros. Le montant minimum de la prime est de 500 dollars américains, soit 445 euros.
Dans un billet de blog, Kymberlee Price, Principal Security PM Manager de Microsoft explique :
« Azure est exceptionnellement sécurisé. Pour que cela reste ainsi, nous doublons la récompense la plus généreuse pour les vulnérabilités Azure, qui passe à 40 000 USD. Mais nous ne nous arrêtons pas là.
« Pour aider les chercheurs en sécurité à tester Azure en toute confiance et de manière agressive, nous invitons un groupe de personnes talentueuses à faire de leur mieux pour imiter les pirates informatiques dans un environnement cloud sécurisé appelé Azure Security Lab.
« Azure Security Lab est un ensemble d’hôtes cloud dédiés à l’intention des chercheurs en sécurité qui testent les attaques contre les scénarios IaaS et qui est isolé des clients Azure. En plus d'offrir un espace de test sécurisé, le programme de laboratoire permettra aux chercheurs participants de dialoguer directement avec les experts en sécurité de Microsoft Azure. Les candidats retenus auront accès à des campagnes trimestrielles pour des scénarios ciblés avec des incitations supplémentaires, ainsi qu’une reconnaissance régulière et des cadeaux exclusifs ».
Les programmes de prime aux bogues constituent un excellent complément aux programmes de sécurité internes existants. Ils aident à motiver les individus et les groupes de hackers à trouver des failles et à les rapporter correctement, au lieu de les utiliser de manière malveillante ou de les vendre à des tiers qui le souhaitent. Microsoft a annoncé avoir distribué 4,4 millions de dollars de récompenses sous forme de primes au cours des 12 derniers mois.
Des participants triés sur le volet
Azure Security Lab n'est pas ouvert au public ; Redmond invitera un groupe restreint d'individus à imiter le comportement de pirates informatiques au sein de ce nouvel environnement de recherche en sécurité basé sur le cloud et sécurisé pour le client. Ces participants seront bien entendu piochés parmi les personnes qui se seront inscrites.
Les participants au programme seront en mesure de prendre part à des campagnes trimestrielles axées sur des attaques ciblées avec un certain nombre d'incitations supplémentaires. Les chercheurs en sécurité pourront également dialoguer directement avec des experts en sécurité Azure.
Kymberlee Price note que « L'isolement d'Azure Security Lab nous permet de proposer quelque chose de nouveau: les chercheurs peuvent non seulement rechercher les vulnérabilités dans Azure, mais aussi tenter de les exploiter. Ceux qui ont accès à Azure Security Lab peuvent tenter les défis basés sur des scénarios avec des récompenses maximales de 300 000 USD ».
En clair, les fonctionnalités d'isolation intégrées au laboratoire de sécurité Azure de Microsoft permettent aux chercheurs non seulement de détecter et d'analyser les vulnérabilités d'Azure, mais également de les exploiter pour voir les résultats réels d'une attaque conçue pour en abuser.
Et d’assurer que « Microsoft s'engage à garantir la sécurité de notre cloud contre les menaces modernes. Dès le début, nous avons conçu Azure en veillant à la sécurité et aidons les clients à sécuriser leur environnement cloud Azure avec des produits tels qu'Azure Sentinel et Azure Security Center. Et si une situation se présente, notre centre d'opérations de défense du cloud (CDOC) et nos équipes de sécurité travaillent sans relâche pour identifier, analyser et répondre aux menaces en temps réel ».
Amélioration du système global de réputation des chercheurs
Redmond a également apporté plusieurs modifications à son système de réputation de chercheur en sécurité, améliorant la transparence du modèle de reconnaissance, ajoutant des points de réputation et établissant un système de récompenses à plusieurs niveaux.
Sylvie Liu, Security Program Manager, MSRC Community Programs de Microsoft a expliqué :
« Nous apprécions profondément le partenariat des nombreux chercheurs en sécurité talentueux qui signalent les vulnérabilités à Microsoft via la divulgation coordonnée de vulnérabilité. Nous versons des primes pour la recherche dans des domaines clés. Chaque année, chez Black Hat USA, nous reconnaissons les chercheurs les plus influents qui contribuent à la protection de l’écosystème. Cela ne change pas; nous continuons d’élargir nos programmes de primes et continuerons à reconnaître les chercheurs qui ont le plus grand impact sur l’écosystème de la sécurité.
« Ce qui change, c’est que nous rendons notre modèle de reconnaissance plus transparent et plus prévisible et que nous établissons un système de récompenses à plusieurs niveaux.
« Le nouveau modèle est un système de points standard reflétant l’impact et la réputation de tous les chercheurs qui nous rapportent, que ce soit directement ou par l’intermédiaire d’un programme comme Zero Day Initiative (ZDI) et iDefense de Trend Micro. Ce modèle comporte deux aspects: les points que vous gagnez pour chaque rapport décisif que vous établissez et votre score de réputation que vous développez pour la proportion de rapports décisionnels que vous créez ».
En tant que chercheur en sécurité, ce modèle vous fournit un moyen simple d'optimiser votre recherche pour obtenir des valeurs de points plus élevées et de développer une réputation de précision accrue. Plus vous avez de points de recherche et plus votre score de réputation est élevé, plus vous êtes éligible pour, notamment:
- une reconnaissance publique sur le classement MSRC
- une reconnaissance annuelle sur la liste des chercheurs en sécurité les plus précieux du MSRC
- un swag spécial pour chaque niveau
- un accès aux événements et programmes MSRC sur invitation uniquement
Source : Azure Security Lab, MSRC, Azure Bounty Program
Et vous ?
Avez-vous déjà participé ou souhaité participer à un Bug Bounty Program ? Lequel ?
Que pensez-vous du fait que Microsoft donne aux chercheurs non seulement la capacité de détecter et d'analyser les vulnérabilités sur Azure, mais également de les exploiter pour voir les résultats réels d'une attaque conçue pour en abuser ?
Voir aussi :
Microsoft augmente de 100% la détection de comptes compromis dans Azure AD, grâce à Unfamiliar Sign-in Properties
Microsoft lance la préversion publique du support de l'identification sans mot de passe à Azure AD, grâce aux clés de sécurité FIDO2
Windows Server évincé par Linux sur Azure, mais cela n'aurait pas été possible sans la volonté de Microsoft
Microsoft et Oracle annoncent l'interopérabilité d'Azure et Oracle Cloud, mettant un nouvel ensemble de fonctionnalités à la disposition des clients