Vue lecture

↗️

Microsoft ouvre son bug bounty au code tiers

✇Silicon
Par : La rédaction

Microsoft vise plus large avec son programme bug bounty.

Le voilà désormais susceptible d’indemniser la découverte de failles dans des dépendances. Il s’engage plus précisément à récompenser les signalements de vulnérabilités critiques qui touchent directement ses services en ligne indépendamment de la provenance du code concerné – si ce dernier n’est pas déjà couvert par un bug bounty.

Autre évolution : tous les services en ligne de Microsoft sont maintenant inclus par défaut, sans restriction de périmètre. Cela vaut aussi pour les nouveaux services, dès leur publication.

Ces règles s’appliquent depuis le 11 décembre 2025. Elles sont rétroactives sur 90 jours.

Les vulnérabilités Hyper-V, potentiellement les plus lucratives

Le programme de bug bounty englobait déjà les composants tiers (ouverts ou propriétaires), mais inclus dans les services Microsoft.

Aux dernières nouvelles, les récompenses peuvent monter jusqu’à 100 000 $ pour les vulnérabilités qui affectent des services d’identité (compte Microsoft, ADD et certaines implémentations d’OpenID). C’est 60 k$ pour Azure ; 30 k$ pour Copilot ; 20 k$ pour Azure DevOps, Dynamics 365/Power Platform et l’API Defender for Endpoint ; 19,5 k$ pour Microsoft 365 ; 15 k$ pour .NET Core/ASP.NET Core et pour certains dépôts open source de Microsoft.

Sur la partie endpoints et on-prem, on atteint 250 k$ pour Hyper-V ; 100 k$ sur Windows Insider Preview ; 30 k$ sur Edge ; 15 k$ sur Microsoft 365 Insider.

En 2023 comme en 2024, le montant total des récompensés distribuées a avoisiné 17 M$, répartis à chaque fois entre un peu moins de 350 chercheurs.

À consulter en complément :

Microsoft 365 : un vol de données assisté par Copilot
ToolShell, cette faille SharePoint qui s’est construite en plusieurs temps
Project Zero (Google) change sa politique de divulgation de vulnérabilités
Roni Carta (Lupin & Holmes) : « Avec la cybersécurité offensive, notre objectif est de lutter contre les failles de la supply chain logicielle »

Illustration générée par IA

The post Microsoft ouvre son bug bounty au code tiers appeared first on Silicon.fr.

  •  
  • ↗️
↗️

Bloqués dans les aéroports ? Des experts en cybersécurité partagent 3 conseils de sécurité pour le Wi-Fi public

✇UnderNews
Par : UnderNews

Aéroports bondés et longs retards : les voyageurs sont des cibles faciles sur les réseaux Wi-Fi publics ; des experts en cybersécurité partagent 3 mesures de sécurité. Pour éviter d’être espionnés ou de se faire voler leurs comptes, les voyageurs devraient désactiver les connexions réseau automatiques, éviter d’utiliser le Wi-Fi public pour les transactions financières et utiliser […]

The post Bloqués dans les aéroports ? Des experts en cybersécurité partagent 3 conseils de sécurité pour le Wi-Fi public first appeared on UnderNews.
  •  
  • ↗️
↗️

Bloqués dans les aéroports ? Des experts en cybersécurité partagent 3 conseils de sécurité pour le Wi-Fi public

✇UnderNews
Par : UnderNews

Aéroports bondés et longs retards : les voyageurs sont des cibles faciles sur les réseaux Wi-Fi publics ; des experts en cybersécurité partagent 3 mesures de sécurité. Pour éviter d’être espionnés ou de se faire voler leurs comptes, les voyageurs devraient désactiver les connexions réseau automatiques, éviter d’utiliser le Wi-Fi public pour les transactions financières et utiliser […]

The post Bloqués dans les aéroports ? Des experts en cybersécurité partagent 3 conseils de sécurité pour le Wi-Fi public first appeared on UnderNews.
  •  
  • ↗️
↗️

Panne de Cloudflare : « Quels enseignements en retenir? » par JFrog

✇UnderNews
Par : UnderNews

La récente panne de Cloudflare semble être due au déploiement dans l’urgence d’un patch correctif pour se protéger de la faille React2Shell. Tribune – Shachar Menashe, VP Security Research chez JFrog, nous explique les enseignements à en tirer : « La chaîne logistique des logiciels peut être un mécanisme complexe composé de multiples éléments et d’outils […]

The post Panne de Cloudflare : « Quels enseignements en retenir? » par JFrog first appeared on UnderNews.
  •  
  • ↗️
↗️

Panne de Cloudflare : « Quels enseignements en retenir? » par JFrog

✇UnderNews
Par : UnderNews

La récente panne de Cloudflare semble être due au déploiement dans l’urgence d’un patch correctif pour se protéger de la faille React2Shell. Tribune – Shachar Menashe, VP Security Research chez JFrog, nous explique les enseignements à en tirer : « La chaîne logistique des logiciels peut être un mécanisme complexe composé de multiples éléments et d’outils […]

The post Panne de Cloudflare : « Quels enseignements en retenir? » par JFrog first appeared on UnderNews.
  •  
  • ↗️
↗️

Sécurité réseau : cloisonnement et protection en cybersécurité… Mounir Ait Bahadda, Provectio

✇InformatiqueNews.fr
Par : cpresse

Quand un attaquant arrive à rebondir des postes utilisateurs vers les serveurs puis les sauvegardes, ce n’est plus une faille, c’est un boulevard réseau. Mettre en place un cloisonnement strict, surveiller les flux internes et tester régulièrement les règles change ce scénario en parcours d’obstacles pour toute intrusion. En cybersécurité, il ne suffit plus de […]

L’article Sécurité réseau : cloisonnement et protection en cybersécurité… <br/><em>Mounir Ait Bahadda, Provectio</em> est apparu en premier sur InformatiqueNews.fr.

  •  
  • ↗️
↗️

Cybersécurité en PME : Pourquoi la sécurité est l’affaire de tous

✇UnderNews
Par : UnderNews

Dans l’imaginaire collectif, la cybersécurité évoque encore des salles obscures remplies de serveurs, des lignes de code à perte de vue et des ingénieurs penchés sur des écrans clignotants. En réalité, le danger se trouve souvent bien plus près, parfois à un simple clic. Et les PME, longtemps persuadées d’être trop modestes pour attirer les […]

The post Cybersécurité en PME : Pourquoi la sécurité est l’affaire de tous first appeared on UnderNews.
  •  
  • ↗️
↗️

Cybersécurité en PME : Pourquoi la sécurité est l’affaire de tous

✇UnderNews
Par : UnderNews

Dans l’imaginaire collectif, la cybersécurité évoque encore des salles obscures remplies de serveurs, des lignes de code à perte de vue et des ingénieurs penchés sur des écrans clignotants. En réalité, le danger se trouve souvent bien plus près, parfois à un simple clic. Et les PME, longtemps persuadées d’être trop modestes pour attirer les […]

The post Cybersécurité en PME : Pourquoi la sécurité est l’affaire de tous first appeared on UnderNews.
  •  
  • ↗️
↗️

La nécessaire vigilance des systèmes OT/IOT et embarqués… Pierre Nicolas, Scassi

✇InformatiqueNews.fr
Par : cpresse

Industrie 4.0, objets connectés et systèmes embarqués deviennent des terrains de jeu privilégiés pour les cyberattaquants. Entre capteurs intelligents, robots autonomes et usines hyperconnectées, la surface d’attaque explose. Pour éviter la compromission, il faut miser sur une stratégie 360° mêlant durcissement matériel, supervision avancée et gouvernance cyber modernisée. La forte exposition aux cyberrisques des acteurs […]

L’article La nécessaire vigilance des systèmes OT/IOT et embarqués… <br/><em>Pierre Nicolas, Scassi</em> est apparu en premier sur InformatiqueNews.fr.

  •  
  • ↗️
↗️

Cybermenaces : cinq conseils pour améliorer la sécurité des e-mails en entreprise pendant les fêtes de fin d’année

✇UnderNews
Par : UnderNews

La période des fêtes est un moment très intense pour tous et les cybercriminels le savent. Tandis que les entreprises se concentrent sur la clôture de l’exercice financier et que les employés sont occupés par les vacances et les achats de cadeaux, les pirates planifient leurs attaques ciblées. Sören Schulte, expert en sécurité des e-mails […]

The post Cybermenaces : cinq conseils pour améliorer la sécurité des e-mails en entreprise pendant les fêtes de fin d’année first appeared on UnderNews.
  •  
  • ↗️
↗️

Cybermenaces : cinq conseils pour améliorer la sécurité des e-mails en entreprise pendant les fêtes de fin d’année

✇UnderNews
Par : UnderNews

La période des fêtes est un moment très intense pour tous et les cybercriminels le savent. Tandis que les entreprises se concentrent sur la clôture de l’exercice financier et que les employés sont occupés par les vacances et les achats de cadeaux, les pirates planifient leurs attaques ciblées. Sören Schulte, expert en sécurité des e-mails […]

The post Cybermenaces : cinq conseils pour améliorer la sécurité des e-mails en entreprise pendant les fêtes de fin d’année first appeared on UnderNews.
  •  
  • ↗️
↗️

La nécessaire vigilance des systèmes OT/IOT et embarqués

✇UnderNews
Par : UnderNews

La forte exposition aux cyber-risques des acteurs industriels et organisations utilisant des systèmes OT/IOT et embarqués est au cœur de l’actualité. Dans ce contexte, il est fondamental de prendre en compte cet état de fait et de repenser en profondeur sa gouvernance cyber pour éviter toute compromission qui pourrait avoir des conséquences importantes. Mais comment […]

The post La nécessaire vigilance des systèmes OT/IOT et embarqués first appeared on UnderNews.
  •  
  • ↗️
↗️

La nécessaire vigilance des systèmes OT/IOT et embarqués

✇UnderNews
Par : UnderNews

La forte exposition aux cyber-risques des acteurs industriels et organisations utilisant des systèmes OT/IOT et embarqués est au cœur de l’actualité. Dans ce contexte, il est fondamental de prendre en compte cet état de fait et de repenser en profondeur sa gouvernance cyber pour éviter toute compromission qui pourrait avoir des conséquences importantes. Mais comment […]

The post La nécessaire vigilance des systèmes OT/IOT et embarqués first appeared on UnderNews.
  •  
  • ↗️
↗️

Deepfakes et cybersécurité : état des lieux des risques actuels

✇UnderNews
Par : UnderNews

Le risque d’attaques par deepfake augmente rapidement, alimenté par l’accessibilité et la sophistication croissantes des outils basés sur l’intelligence artificielle (IA). Une étude de Gartner révèle d’ailleurs que près des deux tiers (62 %) des organisations ont subi une telle attaque au cours des 12 derniers mois.  Tribune – Cette technologie offre aux cybercriminels la possibilité […]

The post Deepfakes et cybersécurité : état des lieux des risques actuels first appeared on UnderNews.
  •  
  • ↗️
❌