Microsoft a lancé un programme de reconnaissance et compensation, alias Bug Bounty, pour son nouveau navigateur Microsoft Edge basé sur Chromium. La sécurité commence à devenir un aspect encore plus important à mesure que le navigateur Web se rapproche de sa première version officielle. La société ira jusqu’à verser 30 000 dollars pour les bugs les plus critiques, comme les failles d’élévation de privilège combinées à une évasion de container Windows Defender Application Guard.
Pour ceux qui l’ignorent encore, Microsoft déplace son navigateur vers le moteur Chromium, ce qui lui permet de publier Edge non seulement pour les périphériques Windows, mais également sur les plateformes non Windows, comme macOS. En effet, le géant basé à Redmond a mené Edge à une refonte majeure en abandonnant EdgeHTML au profit du moteur open source Chromium, qui sert également de base au navigateur Web Google Chrome. Pour que Chromium Edge puisse faire face à la concurrence, il faut prouver que le navigateur est sûr et sécurisé. À ce jour, l’application est toujours en développement, et une version stable est attendue plus tard dans l’année ou au début de l’année 2020.
Avec le programme Bug Bounty, Microsoft demande à des experts du monde entier en cybersécurité à identifier les vulnérabilités de sécurité propres à Edge basé sur Chromium et inexistantes dans la version équivalente de Google Chrome. Le navigateur ne contient que des versions Beta et Dev. Par conséquent, les chercheurs ne doivent pas rechercher des bugs dans les versions Canary.
Les primes concernent les bugs sous Windows et macOS, conformément aux règles du programme détaillées depuis ce lien. Une faille d’élévation de privilège associée à une évasion de container Windows Defender Application Guard a un niveau de gravité critique de 30 000 dollars, tandis qu’une vulnérabilité d’élévation des privilèges standard peut vous rapporter 15 000 dollars si vous insérez un rapport de haute qualité. Pour être qualifiée de haute qualité, une soumission doit fournir les informations nécessaires pour répliquer et corriger facilement un bug, ce qui implique généralement une rédaction concise ou une vidéo contenant des informations générales, une description de la vulnérabilité et une preuve de concept.
Type de soumissions
Les problèmes de divulgation d’informations s’élèvent respectivement à 10 000, 8 000 et 5 000 dollars, en fonction de la qualité du rapport si un indice de gravité critique est attribué. Microsoft recommande aux chercheurs de se concentrer sur une série de fonctionnalités propres à la nouvelle version de Chromium Edge, telle que le mode Internet Explorer, PlayReady DRM, le support de Microsoft Account et Azure Active Directory et Application Guard.
« L’objectif du Microsoft Edge (basé sur Chromium) Insider Bounty Program est de détecter les vulnérabilités propres au prochain Microsoft Edge qui ont un impact direct et démontrable sur la sécurité de nos clients », explique Microsoft. « Les récompenses Bounty vont de 1 000 à 30 000 dollars. Des récompenses plus élevées sont possibles, à la seule discrétion de Microsoft, en fonction de la qualité et de la complexité de la faille. Les chercheurs qui soumettent des failles qui ne sont pas éligibles pour des primes peuvent toujours être éligibles à une reconnaissance publique si leur soumission entraîne une correction de la vulnérabilité ».
Les règles complètes du programme du Bug Bounty sont disponibles sur la page liée ci-dessus.
