Le programme de primes Microsoft Edge (EdgeHTML) se termine le 15 mars 2020.

Des primes sont offertes pour les candidatures éligibles reçues avant le 23 février 2020. Les candidatures éligibles reçues entre le 24 février et le 15 mars 2020 reçoivent 50 % de la prime éligible. Les soumissions reçues après le 15 mars 2020 ne sont plus admissibles aux primes. Les soumissions éligibles continuent de recevoir des points dans le cadre du Programme de reconnaissance des chercheurs (Researcher Recognition Program) après le 15 mars.

Si vous souhaitez obtenir des primes pour des recherches sur le navigateur Microsoft Edge, nous vous invitons à participer au programme de primes Microsoft Edge (basé sur Chromium)

DESCRIPTION DU PROGRAMME

Nous invitons toutes les personnes intéressées par le programme de primes Microsoft Edge (EdgeHTML), où qu’elles se trouvent dans le monde, à soumettre les vulnérabilités découvertes dans la version de Microsoft Edge basée sur EdgeHTML sur l’anneau Lent de la dernière version de Windows 10 Insider Preview. Les soumissions qualifiées peuvent donner lieu à des primes comprises entre 500 et 15 000 USD. Les primes sont accordées à la discrétion de Microsoft en fonction de la qualité et de la complexité de la vulnérabilité, et elles sont soumises aux Conditions générales du programme de primes Microsoft.
 
Les mises à jour de Windows 10 Insider Preview sont fournies aux testeurs dans différents anneaux. Dans le cadre du programme de primes, vous êtes invité à soumettre les bogues sur l'anneau Lent de Windows Insider Preview. Consultez https://insider.windows.com/  et https://insider.windows.com/Home/GetStartedpour plus d’informations.
 

DE QUOI UNE SOUMISSION ÉLIGIBLE EST-ELLE CONSTITUÉE ?

L'objectif du programme de primes aux bogues de Microsoft est de détecter les vulnérabilités importantes qui ont un impact direct et démontrable sur la sécurité de nos clients. Pour donner lieu à une prime, les soumissions de vulnérabilités doivent être conformes aux critères suivants :
  • Identification d'une vulnérabilité jamais signalée dans la version actuelle de Microsoft Edge basée sur EdgeHTML sur WIP anneau Lent.
    • La soumission doit inclure le numéro de build de WIP anneau Lent sur lequel la vulnérabilité est reproduite.
  • Présentation concise et facile à comprendre des étapes de reproductibilité.
    • Cela accélère le traitement des soumissions et peut permettre d'obtenir la prime la plus élevée pour le type de vulnérabilité signalé.
  • Une preuve de concept doit être fournie avec la soumission.

COMMENT LES MONTANTS DES PRIMES SONT-ILS FIXÉS ?

Les primes sont comprises entre 500 et 25 000 $. Des primes plus élevées sont possibles, à la seule discrétion de Microsoft, en fonction de la qualité et de la complexité de la soumission. Les soumissions qui ne peuvent pas donner lieu à une prime peuvent néanmoins être éligibles à une reconnaissance publique si elles aboutissent à un correctif de vulnérabilité.
  • Si plusieurs rapports signalant le même bogue nous sont adressés par différentes parties, la prime sera accordée à la première soumission sur la base des critères mentionnés ci-dessus.
  • Si un rapport en double nous fournit des informations dont nous n'avions pas encore connaissance, cette soumission donnera lieu à une prime supplémentaire.
  • Les vulnérabilités inédites et susceptibles de n'aboutir qu'à un niveau de gravité « Moyen » pourront malgré tout être prises en compte dans le cadre du programme de primes.
Type de vulnérabilité

Qualité élevée

Base de référence

Exécution de code à distance Jusqu'à 15 000 $ De 500 à 5 000 $
Violation de la stratégie de même origine (Universal XSS) Jusqu'à 6 000 $ De 500 à 2 000 $
Divulgation d’informations Jusqu'à 5 000 $ De 500 à 1 000 $
Autre vulnérabilité inédite (contournement du CSP, usurpation de référent, etc.) Jusqu'à 2 000 $ Jusqu'à 500 $
 
* Répond à tous les critères de soumission décrits ci-dessus, contient une preuve de concept de qualité supérieure et des moyens par lesquels l'attaquant peut exploiter les résultats contre un utilisateur.
** Répond à tous les critères de soumission décrits ci-dessus, mais manque de détails ou d'informations complémentaires, ou la qualité de la preuve de concept est médiocre.

Définitions relatives aux soumissions éligibles :

Preuve de concept
Fichiers et étapes nécessaires à une reproduction fiable de la vulnérabilité.
 
Exécution de code à distance
Vulnérabilité de Microsoft Edge (EdgeHTML) WIP anneau Lent permettant à un attaquant d'accéder à l'appareil informatique d'une autre personne et d'y apporter des modifications, quel que soit l'emplacement géographique de l'appareil.

DE QUOI UNE SOUMISSION INÉLIGIBLE EST-ELLE CONSTITUÉE ?

L'objectif du programme de primes aux bogues est de détecter les vulnérabilités importantes qui ont un impact direct et démontrable sur la sécurité de nos utilisateurs et de leurs données. Nous encourageons toutes les soumissions décrivant les vulnérabilités relatives à la sécurité dans nos navigateurs. Cela dit, voici des exemples de vulnérabilités qui ne donnent lieu à aucune prime dans le cadre de ce programme :
  • Vulnérabilités détectées dans des versions antérieures à la build WIP anneau Lent actuelle
  • Vulnérabilités détectées dans une version d'Internet Explorer
  • Vulnérabilités détectées dans une version de Microsoft Edge basée sur Chromium
  • Vulnérabilités détectées dans les contenus générés par les utilisateurs
  • Vulnérabilités nécessitant des actions approfondies ou improbables de la part de l'utilisateur
  • Vulnérabilités liées à la désactivation de Memory Garbage Collector (MemGC)
  • Vulnérabilités détectées en désactivant les fonctionnalités de sécurité existantes du navigateur
  • Vulnérabilités détectées dans les fonctionnalités expérimentales, comme celles répertoriées dans about:flags
Nous nous réservons le droit de rejeter toute soumission qui, à notre seule discrétion, entre dans l'une des catégories de vulnérabilités suivantes, même si celle-ci est par ailleurs éligible à une prime.

COMMENT PUIS-JE FOURNIR MA SOUMISSION ?

Envoyez votre soumission complète à Microsoft à partir du portail de soumission du Centre de réponse aux problèmes de sécurité Microsoft et en suivant les instructions de soumission des bogues. Lors des signalements de vulnérabilités, vous êtes invité à suivre le processus de divulgation coordonnée des vulnérabilités. Nous mettrons tout en œuvre, dans la limite du raisonnable, pour clarifier les soumissions indéchiffrables ou incomplètes.

Vous avez des questions ? Nous sommes à votre disposition sur secure@microsoft.com.

PRIMES

  • Microsoft est le seul habilité à déterminer, à sa seule discrétion, le montant des primes, ainsi que les soumissions éligibles et prises en compte.
  • Il n'existe aucune restriction quant au nombre de soumissions qualifiées qu'une personne peut présenter ou au nombre de primes qu'elle peut recevoir.
  • Si plusieurs rapports signalant le même bogue nous sont adressés par différentes parties, la prime sera accordée à la première soumission.
  • Si un rapport en double nous fournit des informations dont nous n'avions pas encore connaissance, cette soumission peut donner lieu à une prime supplémentaire.
  • Si une soumission est potentiellement éligible à plusieurs programmes de primes, vous ne toucherez qu'une seule prime (la plus élevée des différents programmes).

MENTION LÉGALE

Pour plus d'informations sur les conditions relatives aux programmes de primes Microsoft et sur les directives légales, consultez nos Conditions générales des programmes de primes et notre FAQ.
 

Merci d'avoir participé au programme de primes aux bogues de Microsoft.

 

Historique des révisions

  • 4 août 2016 : lancement du programme de primes
  • 7 décembre 2018 : ajout d'une section Historique des révisions et introduction du programme mis à jour
  • 8 avril 2019 : mise à jour des versions prises en compte pour Microsoft Edge (EdgeHTML) uniquement. Mise à jour de la description des primes et des introductions de sections.
  • 23 janvier 2020 : Le programme se termine le 15 mars 2020.