Microsoft vient de lancer un programme pour stimuler la communauté à trouver toutes les failles de sécurité sur ses plateformes Xbox.
Etre payé pour trouver des failles de sécurité ?
Les utilisateurs Microsoft et Xbox ont peut-être déjà remarqué le lancement d’un programme de bug bounty sur la console ce 30 janvier 2020 ! En effet, tout comme Google ou encore Facebook, Microsoft met à contribution les chercheurs et joueurs afin de trouver et corriger les bugs de ses consoles.
Mais que sait-on de ce nouveau programme ? Quels sont les bugs les plus recherchés ? Et combien Microsoft paie-t-il pour les bugs trouvés ? Vous aurez les réponses à ces questions au cours de cet article.
Le programme Bug Bounty pour Xbox, en bref
Le programme de Bug Bounty pour Xbox de Microsoft invite l’entièreté de la communauté Microsoft, les joueurs Xbox, mais aussi les chercheurs à trouver et signaler les possibles bugs et vulnérabilités dans le protocole de sécurité de Xbox Live Network, mais aussi des différents services Xbox.
Cela permet à Microsoft d’identifier plus rapidement les bugs et vulnérabilités afin de les corriger au plus vite pour éviter de compromettre les informations personnelles des joueurs. De plus, cela permettra aussi de rendre les consoles et leur utilisation plus fluide, dans une certaine mesure.
Quels sont les bugs recherchés par Microsoft ?
Selon les informations du programme, toutes les catégories de bugs et vulnérabilités ne sont pas recherchées. En effet, pour que les bugs soient éligibles, il faut qu’il soit de haute importance, voire d’importance critique. De plus, il faut que les bugs trouvés concernent :
L’exploitation dans des composants tiers,
Une mauvaise configuration de la sécurité qui n’est pas causée par le joueur,
Une désérialisation non sécurisée,
Des références d’objets non sécurisées,
La falsification de demandes intersites(CSRF),
Des scripts intersites(XSS),
Et bien d’autres encore.
Les chasseurs de bugs sont également des hackers mais agissant pour la cause nôble
Combien les personnes trouvant les bugs sont-elles payées ?
Comme vous le savez peut-être déjà, les chercheurs ne sont payés que lorsqu’ils trouvent des bugs éligibles, c’est-à-dire qui ne sont pas déjà connus ou dont le rapport est clair et permet l’identification rapide du bug. En effet, les montants versés dépendent du type de vulnérabilité trouvé ainsi que de la qualité du rapport.
Par exemple, un rapport de faible qualité portant sur la falsification de haute importance peut rapporter 1000 $. Un impact important sur la divulgation d’information avec un rapport de haute qualité, lui, permet de gagner 5000 $. Les montants varient ainsi de 1000 $ à 15 000 $ pour les impacts importants sur la sécurité. Néanmoins, certains impacts critiques, tels que ceux sur l’exécution de code à distance, peuvent avoir une récompense atteignant les 20 000 $ si le rapport rendu est complet, clair et précis.
Alors, vous vous sentez l’âme d’un hacker white hat?
