Microsoft annonce un nouveau programme de bug bounty (chasse aux bugs) qui invite les chercheurs en sécurité à hacker dans son système d’exploitation Linux personnalisé qui alimente Azure Sphere OS. Ce dernier est conçu pour fonctionner sur des puces spécialisées pour sa plateforme Internet of Things (IoT). Le système d’exploitation a été spécialement conçu pour cette plateforme, garantissant que les services et les applications de base fonctionnent de manière isolée dans un bac à sable à des fins de sécurité.
La société verse jusqu’à 100 000 dollars dans le cadre du Azure Sphere Security Research Challenge, qui est à son tour une extension du Azure Security Lab. Vous devez vous inscrire au programme de recherche avant le 15 mai de cette année, mais le programme de primes lui-même sera disponible du 1er juin au 31 août pour les candidatures acceptées.
Microsoft déclare qu’elle recherche spécifiquement des piratages qui permettraient aux hackers d’obtenir la capacité d’exécuter du code sur le sous-système de sécurité Pluton et sur le bac à sable Secure World, et ces exploits sont récompensés par 100 000 dollars. « Ce défi de recherche se concentre sur Azure Sphere OS. Les vulnérabilités trouvées en dehors du champ d’application de l’initiative de recherche, y compris la partie Cloud, peuvent être éligibles pour les récompenses publiques du Azure Bounty Program. Les attaques physiques sont hors de portée de ce défi et du programme public Azure Bounty Program », explique la société.
Microsoft mise beaucoup sur les bug bounty pour améliorer la sécurité de ses logiciels. Jusqu’à présent, la société a lancé des programmes analogues pour plusieurs produits clés, notamment Windows, le navigateur Microsoft Edge et Microsoft Office.
Les chercheurs reçoivent des primes allant jusqu’à 30 000 dollars pour les vulnérabilités critiques du navigateur Edge et jusqu’à 15 000 dollars s’ils trouvent des failles dans les versions Insiders de Office. D’autre part, une faille critique de RCE dans Microsoft Hyper-V est récompensée jusqu’à 250 000 dollars.
Dans les gènes de la société
« Microsoft reconnaît que la sécurité n’est pas un événement unique. Les risques doivent être atténués de manière cohérente tout au long de la durée de vie d’une gamme de dispositifs et de services en constante augmentation. Engager la communauté des chercheurs en sécurité dans la recherche de vulnérabilités à fort impact avant que les hackers ne le fassent fait partie de l’approche holistique que Azure Sphere adopte pour minimiser le risque », déclare la société. Si vous souhaitez participer au nouveau programme de recherche, vous devez soumettre votre candidature sur cette page.
Satya Nadella, PDG de Microsoft, considère les dispositifs IoT comme un domaine clé pour l’entreprise, décrivant son activité dans le cloud comme la plus grande activité matérielle de Microsoft au début de cette année. Azure Sphere est un élément clé de la mission visant à sécuriser et à gérer ces appareils, et fait partie de l’effort accru de Microsoft pour gagner un monde au-delà de Windows qui se dirige de plus en plus vers le cloud.
