Connexion
Microsoft ouvre son bug bounty au code tiers
Microsoft vise plus large avec son programme bug bounty.
Le voilà désormais susceptible d’indemniser la découverte de failles dans des dépendances. Il s’engage plus précisément à récompenser les signalements de vulnérabilités critiques qui touchent directement ses services en ligne indépendamment de la provenance du code concerné – si ce dernier n’est pas déjà couvert par un bug bounty.
Autre évolution : tous les services en ligne de Microsoft sont maintenant inclus par défaut, sans restriction de périmètre. Cela vaut aussi pour les nouveaux services, dès leur publication.
Ces règles s’appliquent depuis le 11 décembre 2025. Elles sont rétroactives sur 90 jours.
Les vulnérabilités Hyper-V, potentiellement les plus lucratives
Le programme de bug bounty englobait déjà les composants tiers (ouverts ou propriétaires), mais inclus dans les services Microsoft.
Aux dernières nouvelles, les récompenses peuvent monter jusqu’à 100 000 $ pour les vulnérabilités qui affectent des services d’identité (compte Microsoft, ADD et certaines implémentations d’OpenID). C’est 60 k$ pour Azure ; 30 k$ pour Copilot ; 20 k$ pour Azure DevOps, Dynamics 365/Power Platform et l’API Defender for Endpoint ; 19,5 k$ pour Microsoft 365 ; 15 k$ pour .NET Core/ASP.NET Core et pour certains dépôts open source de Microsoft.
Sur la partie endpoints et on-prem, on atteint 250 k$ pour Hyper-V ; 100 k$ sur Windows Insider Preview ; 30 k$ sur Edge ; 15 k$ sur Microsoft 365 Insider.
En 2023 comme en 2024, le montant total des récompensés distribuées a avoisiné 17 M$, répartis à chaque fois entre un peu moins de 350 chercheurs.
À consulter en complément :
Microsoft 365 : un vol de données assisté par Copilot
ToolShell, cette faille SharePoint qui s’est construite en plusieurs temps
Project Zero (Google) change sa politique de divulgation de vulnérabilités
Roni Carta (Lupin & Holmes) : « Avec la cybersécurité offensive, notre objectif est de lutter contre les failles de la supply chain logicielle »
Illustration générée par IA
The post Microsoft ouvre son bug bounty au code tiers appeared first on Silicon.fr.
