Payer des gens pour chercher des problèmes de sécurité plutôt que d’attendre des incidents... Microsoft poursuit cette stratégie et attire les chasseurs de bugs en agitant des billets verts. A la clé, une récompense XXL de 250 000 dollars pour quiconque trouvera un exploit dans le Tier 1 (hyperviseur et noyau) d’Hyper-V permettant une prise de contrôle à distance.
Hyper-V n’est donc pas le seul logiciel concerné : Mitigation bypass, Windows Defender Application Guard et Microsoft Edge le sont également. Les failles de chaque logiciel ou programme à trouver portent sur des environnements différents comme on peut le voir dans ce tableau :
On peut constater aussi que la plus petite récompense est de 500 dollars. Pour ceux qui souhaitent se lancer dans l’aventure, sachez que Microsoft tient une page à jour sur les différents programmes Bounty (en cours, terminés, etc.), accessible en cliquant sur ce lien.
Des programmes répandus
Microsoft est loin d’être le seul à se lancer dans une telle chasse aux bugs rémunérée. Facebook dispose de sa propre page et a déjà lancé un événement similaire. Toutes les conditions sont d’ailleurs réunies ici. Google fait de même et propose lui aussi une « grille tarifaire » intéressante. Enfin, Apple avait lancé son propre Bounty Program en août 2016.