DESCRIPTION DU PROGRAMME

Le programme de primes Microsoft accueille des individus dans le monde entier qui recherchent et soumettent des vulnérabilités propres à Microsoft Edge basé sur Chromium. Les soumissions qualifiées sont éligibles à des primes d’un montant allant de 1 000 USD à 30 000 USD

Les primes sont accordées à la discrétion de Microsoft en fonction de la gravité et de l’impact de la vulnérabilité, ainsi que de la qualité de la soumission, et elles sont soumises aux Conditions générales du programme de primes Microsoft.

QU'EST-CE QUI CONSTITUE UNE SOUMISSION ÉLIGIBLE ?

L’objectif du programme de primes Microsoft Edge est de découvrir des vulnérabilités uniques à la prochaine version de Microsoft Edge basée sur Chromium qui ont un impact direct et démontrable sur la sécurité de nos clients. Les soumissions de vulnérabilités doivent répondre aux critères suivants pour être éligibles aux primes : 

  • Identifier une vulnérabilité qui n’a pas déjà été signalée qui est
    propre à Microsoft Edge
    basé sur Chromium,
    Dev, Beta ou Stable
    qui
    ne
    se reproduisent pas sur le canal équivalent de Google Chrome.
    • Les vulnérabilités doivent être reproductibles sur la dernière version de Microsoft Edge (au moment de la soumission) exécutée sur la version Windows la plus récente (incluant Windows 10, Windows 7 SP1 ou Windows 8.1) avec correctifs ou MacOS. Aucun test dans Windows Insider Preview n’est requis. 
    • Incluez le numéro de version de Microsoft Edge utilisé pour reproduire la vulnérabilité (par exemple, version 77.0.188.0 (build officielle) Dev (64 bits)) et le numéro de version de Chrome utilisé pour vérifier qu’elle n’est pas reproduite sur Chrome. Les numéros de version éligibles de Microsoft Edge commencent par au moins 77.  
  • Les attaques par des composants tiers qui se reproduisent dans Microsoft Edge mais pas dans Chrome sont également éligibles dans le cadre de ce programme de primes.
    • Nécessite une preuve de concept complète de l’exploitabilité. Par exemple, l’identification et la non-mise à jour de la bibliothèque ne sont pas éligibles à une prime.
  • Incluez des étapes reproductibles, concises et faciles à comprendre, par écrit ou sous forme de vidéo.
    • Cela accélère le traitement des soumissions et peut permettre d’obtenir des primes plus élevées.
  • Une preuve de concept doit être fournie avec la soumission.

L’équipe Microsoft peut accepter ou rejeter une soumission à sa seule discrétion si elle juge que celle-ci ne répond pas aux critères ci-dessus.

PRISE EN MAIN

Téléchargez la dernière version de Microsoft Edge et suivez le blog de l’équipe Microsoft Edge, les forums de la communauté, GitHub, la page Microsoft Edge Insider et Twitter pour connaître les dernières fonctionnalités et versions.

Il existe plusieurs fonctionnalités de Microsoft Edge sur Chrome qui sont propres à Edge et peuvent être un bon point de départ pour commencer à rechercher des vulnérabilités éligibles aux primes Microsoft. Voici quelques exemples :

  • Mode Internet Explorer (IE) : cette fonctionnalité permet aux administrateurs d’entreprise de gérer une liste approuvée de sites autorisés à être ouverts en mode IE dans le navigateur Edge. Cette fonctionnalité requiert une version prise en charge de Windows. Pour plus d’informations sur cette fonctionnalité, consultez la documentation Microsoft Edge.
  • PlayReady DRM : cette fonctionnalité permet à la nouvelle version de Microsoft Edge d’afficher le contenu multimédia protégé par DRM PlayReady (en plus de WideVine DRM, qui est également pris en charge par Google Chrome).
  • Connexion avec un compte Microsoft (MSA) ou Azure Active Directory (AAD) : cette fonctionnalité permet aux utilisateurs de se connecter au navigateur avec un compte MSA ou AAD, d’activer la synchronisation entre les appareils et d’autres personnalisations. Les vulnérabilités affectant les services d’identité Microsoft sont passées en revue et font l’objet de primes dans le cadre du programme de primes Microsoft si elles sont éligibles.
  • Application Guard : si elles sont éligibles, les vulnérabilités affectant Application Guard sont passées en revue et font l’objet de primes dans le cadre du programme de primes Windows Defender Application Guard. Les vulnérabilités entraînant l’échappement du conteneur WDAG vers l’hôte sont éligibles à une prime allant jusqu’à 30 000 USD.

COMMENT LES MONTANTS DES PRIMES SONT-ILS FIXÉS ?

Les primes sont comprises entre 1 000 et 30 000 USD. Des primes plus élevées sont possibles, à la seule discrétion de Microsoft, en fonction de la qualité et de la complexité de la soumission. Les soumissions qui ne peuvent pas donner lieu à une prime peuvent néanmoins être éligibles à une reconnaissance publique si elles aboutissent à un correctif de vulnérabilité.

Impact sur la sécurité

Qualité du rapport

Gravité

Critique et importante

Évasion de bac à sable

Élevées

Moyenne

Faibles

30 000 USD

25 000 USD

20 000 USD

Échappement de conteneur Application Guard

Programme de primes Windows Defender Application Guard 

(jusqu’à 30 000 USD)

Divulgation d’informations

Élevées

Moyenne

Faibles

20 000 USD

10 000 USD

7 000 USD

Contournement des fonctionnalités de sécurité

Élevées

Moyenne

Faibles

20 000 USD

10 000 USD

7 000 USD

Exécution de code à distance (RCE) - Processus lié au renderer

Élevées

Moyenne

Faibles

10 000 USD

8 000 USD

5 000 USD

Falsification/Usurpation d’identité

Élevées

Moyenne

Faibles

7 500 $

3 000 USD

1 000 $

Déni de service 

Élevé/Faible

Non pris en compte

*Une vulnérabilité dans Microsoft Edge basé sur Chromium où un attaquant a un accès distant à l’appareil informatique d’une autre personne et y apporte des modifications, quel que soit l’emplacement géographique de l’appareil.

**S/O : les vulnérabilités à l’origine de l'impact répertorié en matière de sécurité ne peuvent pas être prises en compte dans cette catégorie de gravité.

Un rapport de qualité supérieure fournit les informations dont un ingénieur a besoin pour reproduire, comprendre et résoudre rapidement le problème. Celui-ci inclut généralement un texte concis ou une brève vidéo contenant les informations de base requises, une description du bogue et une preuve de concept jointe. Des exemples de rapports de qualité inférieure et supérieure sont disponibles ici.

Nous sommes conscients que certains problèmes sont extrêmement difficiles à reproduire et à comprendre. Nous en tiendrons donc compte lors de l’arbitration de la qualité d’une soumission.

SOUMISSIONS ET VULNÉRABILITÉS NON PRISES EN COMPTE

Microsoft se fait un plaisir de recueillir et d’examiner les soumissions au cas par cas, mais certains types de soumissions et de vulnérabilités peuvent ne pas être éligibles à une prime. Voici quelques-uns des problèmes courants de faible gravité ou non pris en compte qui ne peuvent généralement pas donner lieu à une prime :

  • Vulnérabilités divulguées publiquement qui ont déjà été signalées à Microsoft, ou dont la communauté de sécurité au sens large a déjà connaissance
  • Vulnérabilités qui se reproduisent dans Chrome au moment de la soumission
  • Vulnérabilités qui se reproduisent uniquement dans les versions Canary ou antérieures au moment de la soumission
  • Vulnérabilités détectées dans une version d’Internet Explorer
  • Vulnérabilités dans une version de Microsoft Edge basée sur EdgeHTML (jusqu’à la version 45 de Microsoft Edge incluse).
  • Vulnérabilités dans Edge s’exécutant sur des systèmes d’exploitation mobiles tels qu’iOS ou Android
  • Vulnérabilités détectées dans les contenus générés par les utilisateurs
  • Vulnérabilités nécessitant des actions approfondies ou improbables de la part de l’utilisateur
  • Vulnérabilités détectées en désactivant les fonctionnalités de sécurité existantes du navigateur
  • Vulnérabilités détectées dans les fonctionnalités expérimentales, comme celles répertoriées dans edge://flags

Microsoft peut accepter ou rejeter toute soumission qui, à sa seule discrétion, entre dans l’une des catégories suivantes.

ENVOI DE LA SOUMISSION

Envoyez votre soumission complète à Microsoft à partir du portail de soumission du Centre de réponse aux problèmes de sécurité Microsoft et en suivant les instructions de soumission des bogues. Lors des signalements de vulnérabilités, vous êtes invité à suivre le processus de divulgation coordonnée des vulnérabilités. Nous mettrons tout en œuvre, dans la limite du raisonnable, pour clarifier les soumissions indéchiffrables ou incomplètes.

Vous avez des questions ? Nous sommes toujours disponible à l’adresse secure@microsoft.com.

PRIMES

  • Microsoft est le seul habilité à déterminer, à sa seule discrétion, le montant des primes, ainsi que les soumissions éligibles et prises en compte.
  • Il n’existe aucune restriction quant au nombre de soumissions qualifiées qu’une personne peut présenter ou au nombre de primes qu’elle peut recevoir.
  • Si plusieurs rapports signalant le même bogue nous sont adressés par différentes parties, la prime est accordée à la première soumission.
  • Si un rapport en double nous fournit des informations dont nous n’avions pas encore connaissance, cette soumission peut donner lieu à une prime supplémentaire.
  • Si une soumission est potentiellement éligible à plusieurs programmes de primes, vous ne touchez qu’une seule prime (la plus élevée des différents programmes).

CONDITIONS

Pour plus d’informations sur les conditions relatives aux programmes de primes Microsoft et sur les directives légales, consultez nos Conditions générales des programmes de primes, notre FAQ et la politique Safe Harbor.

Merci d’avoir participé au programme de primes aux bogues de Microsoft.

HISTORIQUE DES RÉVISIONS

  • 20 août 2019 : Lancement du programme de primes. Référence à MemGC supprimée.
  • 15 janvier 2020 : augmentation du montant de la prime Divulgation d’informations, Contournement des fonctionnalités de sécurité et Falsification/Usurpation d’identité et changement de Élévation de privilège à Évasion de bac à sable (sandbox escape). Changement de nom du programme « Edge Insider Bounty Program » qui devient « Programme de primes Microsoft Edge » en parallèle à la disponibilité générale de la nouvelle version de Microsoft Edge.