DESCRIPTION DU PROGRAMME

Dynamics 365 est une suite d’applications d'entreprise intelligentes, conçue pour connecter des clients, des produits, des utilisateurs et des opérations. Nous invitons les utilisateurs ou organisations à identifier les vulnérabilités en matière de sécurité dans les applications Dynamics 365 ciblées et à les partager avec notre équipe. Les soumissions qualifiées peuvent donner lieu à des primes comprises entre 500 et 20 000 USD.

Les primes sont accordées à la discrétion de Microsoft en fonction de la gravité et de l'impact de la vulnérabilité, ainsi que de la qualité de la soumission, et elles sont soumises aux Conditions générales du programme de primes Microsoft.

SERVICES ET PRODUITS PRIS EN COMPTE

La plupart des vulnérabilités soumises pour des applications Dynamics 365 sont éligibles dans le cadre de ce programme.

  • Applications en ligne Microsoft Dynamics 365, y compris :
    • Dynamics 365 for Sales
    • Dynamics 365 for Customer Service
    • Dynamics 365 for Field Service
    • Dynamics 365 for Talent
    • Dynamics 365 for Finance and Operations
    • Dynamics 365 for Retail
    • Dynamics 365 for Project Service Automation
    • Dynamics 365 for Marketing
    • Dynamics 365 Remote Assist
    • Dynamics 365 Layout
    • Dynamics365 AI for Sales
    • Dynamics 365 AI for Customer
    • Dynamics 365 AI for Market Insights
    • Dynamics 365 Business Central
    • Dynamics 365 General
  • Produits locaux Microsoft Dynamics 365
    • Microsoft Dynamics AX
    • Microsoft Dynamics CRM
    • Microsoft Dynamics GP
    • Microsoft Dynamics NAV
    • Microsoft Dynamics SL

Les soumissions qui identifient des vulnérabilités dans Office 365, le compte Microsoft, Azure DevOps et d’autres services en ligne seront prises en compte dans le cadre de nos programmes de primes spécifiques aux servies ou aux produits, y compris Programme de primes cloud, Programme de primes Microsoft Identity ou Programme de primes Azure DevOps. Toutes les soumissions sont évaluées à des fins d'éligibilité aux primes. Aussi, n'ayez crainte si vous hésitez sur la catégorie de votre soumission. Nous acheminerons votre rapport vers le programme approprié.

DE QUOI UNE SOUMISSION ÉLIGIBLE EST-ELLE CONSTITUÉE ?

L'objectif du programme de primes aux bogues de Microsoft est de détecter les vulnérabilités importantes qui ont un impact direct et démontrable sur la sécurité de nos utilisateurs. Pour donner lieu à une prime, les soumissions de vulnérabilités doivent être conformes aux critères suivants :

  • Une vulnérabilité jamais signalée doit être identifiée dans l'un des services ou produits pris en compte.
  • Des informations claires, concises et reproductibles, doivent être fournies par écrit ou sous forme de vidéo, pour aider nos ingénieurs à comprendre, reproduire et résoudre rapidement le problème.
    • Cela accélère le traitement des soumissions et peut permettre d'obtenir des primes plus élevées.

PRISE EN MAIN

COMMENT LES MONTANTS DES PRIMES SONT-ILS FIXÉS ?

Les primes sont comprises entre 500 et 20 000 USD. Des primes plus élevées sont possibles, à la seule discrétion de Microsoft, en fonction de l'impact et de la gravité de la vulnérabilité, ainsi que de la qualité de la soumission. Les soumissions qui ne peuvent pas donner lieu à une prime peuvent néanmoins être éligibles à une reconnaissance publique si elles aboutissent à un correctif de vulnérabilité.

Impact sur la sécurité

Qualité du rapport

Gravité

Critique

Important

Modérées

Faibles

Exécution de code à distance

Élevées

Moyenne

Faibles

20 000 USD

15 000 USD

10 000 USD

15 000 USD

10 000 USD

5 000 USD

0 USD

0 USD

Élévation de privilège

Élevées

Moyenne

Faibles

8 000 USD

4 000 USD

3 000 USD

5 000 USD

2 000 USD

1 000 $

0 USD

0 USD

Divulgation d’informations

Élevées

Moyenne

Faibles

8 000 USD

4 000 USD

3 000 USD

5 000 USD

2 000 USD

1 000 $

0 USD

0 USD

Usurpation d'identité

Élevées

Moyenne

Faibles

S.O.

3 000 USD

1 200 USD

500 USD

0 USD

0 USD

Falsification

Élevées

Moyenne

Faibles

S.O.

3 000 USD

1 200 USD

500 USD

0 USD

0 USD

Déni de service

Élevé/Faible

Non pris en compte

S/O : les vulnérabilités à l'origine de l'impact répertorié en matière de sécurité ne peuvent pas être prises en compte dans cette catégorie de gravité.

Un rapport de qualité supérieure fournit les informations dont un ingénieur a besoin pour reproduire, comprendre et résoudre rapidement le problème. Celui-ci inclut généralement un texte concis ou une brève vidéo contenant les informations de base requises, une description du bogue et une preuve de concept. Des exemples de rapports de qualité inférieure et supérieure sont disponibles ici.

Nous sommes conscients que certains problèmes sont extrêmement difficiles à reproduire et à comprendre. Nous en tiendrons donc compte lors de l'évaluation de la qualité d'une soumission.

VULNÉRABILITÉS PRISES EN COMPTE

Vous trouverez ci-dessous des exemples de vulnérabilités susceptibles d'entraîner un ou plusieurs des problèmes de sécurité mentionnés précédemment :

  • Exécution de scripts de site à site (XSS)
  • Falsification de requête intersite (CSRF)
  • Falsification ou accès à des données entre locataires
  • Références directes à des objets non sécurisées
  • Désérialisation non sécurisée
  • Vulnérabilités d'injection
  • Exécution de code côté serveur
  • Configuration incorrecte de la sécurité (lorsqu'elle n'est pas due à l'utilisateur)
  • Falsification ou accès non autorisé à des données entre locataires

VULNÉRABILITÉS NON PRISES EN COMPTE

Microsoft se fait un plaisir de recueillir et d'examiner les soumissions au cas par cas, mais certains types de soumissions et de vulnérabilités peuvent ne pas être éligibles à une prime. Voici quelques-uns des problèmes courants de faible gravité ou non pris en compte qui ne peuvent généralement pas donner lieu à une prime :

 

  • Vulnérabilités divulguées publiquement qui ont déjà été signalées à Microsoft, ou dont la communauté de sécurité au sens large a déjà connaissance
  • Vulnérabilités dans toute autre version que la version la plus récente, entièrement corrigée au moment de la soumission
  • Vulnérabilités basées sur une configuration ou une action de l'utilisateur, par exemple :
    • Vulnérabilités basées sur du contenu généré par un utilisateur ou des applications créées par un utilisateur
    • Vulnérabilités nécessitant des actions approfondies ou improbables de la part de l'utilisateur
    • Mauvaise configuration de la sécurité d'un service par un utilisateur ou un administrateur
  • Vulnérabilités basées sur des tiers, par exemple :
    • Vulnérabilités dans des logiciels tiers
    • Vulnérabilités dans des extensions tierces
    • Vulnérabilités détectées dans les technologies de plateforme non spécifiques à Dynamics 365 (par exemple, IIS, OpenSSL, etc.)
  • Types de vulnérabilités non pris en compte, notamment :
    • Divulgation d'informations côté serveur
    • Attaques par déni de service (DoS)
    • Vulnérabilités liées à la relecture de cookies
  • Vulnérabilités dans d’autres produits Microsoft
    • Consultez la liste complète des programmes de primes pour les autres produits et services Microsoft éligibles.
  • Les sites de formation, de documentation et de communauté liés aux produits Dynamics 365 ne sont pas pris en compte pour les primes, notamment
    • experience.dynamics.com
    • community.dynamics.com

   

Microsoft peut rejeter toute soumission qui, à sa seule discrétion, entre dans l'une des catégories suivantes, même si celle-ci est par ailleurs éligible à une prime.

COMMENT PUIS-JE FOURNIR MA SOUMISSION ?

Envoyez votre soumission complète à Microsoft à partir du portail de soumission du Centre de réponse aux problèmes de sécurité Microsoft et en suivant les instructions de soumission des bogues. Lors des signalements de vulnérabilités, vous êtes invité à suivre le processus de divulgation coordonnée des vulnérabilités. Nous mettrons tout en œuvre, dans la limite du raisonnable, pour clarifier les soumissions indéchiffrables ou incomplètes.

 

Vous avez des questions ? Nous sommes à votre disposition sur secure@microsoft.com.

PRIMES

Microsoft est le seul habilité à déterminer, à sa seule discrétion, le montant des primes, ainsi que les soumissions éligibles et prises en compte.

  • Il n'existe aucune restriction quant au nombre de soumissions qualifiées qu'une personne peut présenter ou au nombre de primes qu'elle peut recevoir.
  • Si plusieurs rapports signalant le même bogue nous sont adressés par différentes parties, la prime sera accordée à la première soumission.
  • Si un rapport en double nous fournit des informations dont nous n'avions pas encore connaissance, cette soumission peut donner lieu à une prime supplémentaire.
  • Si une soumission est potentiellement éligible à plusieurs programmes de primes, vous ne toucherez qu'une seule prime (la plus élevée des différents programmes).

CONDITIONS GÉNÉRALES

Pour plus d'informations sur les conditions relatives aux programmes de primes Microsoft et sur les directives légales, consultez nos Conditions générales des programmes de primes et notre FAQ.

HISTORIQUE DES RÉVISIONS

  • 17 juillet 2019 : lancement du programme.
  • 29 juillet 2019 : La documentation et les domaines de formation ne sont pas pris en compte, notamment experience.dynamics.com et community.dynamics.com.