DESCRIPTION DU PROGRAMME

Nous avons le plaisir de lancer un programme de primes portant sur les vulnérabilités de sécurité pour Microsoft Office Insider sur Windows Desktop. Partout dans le monde, des personnes peuvent se voir octroyer des récompenses monétaires pour la soumission de vulnérabilités de sécurité détectées dans Microsoft Office Insider (anneau Lent), avec la dernière version entièrement corrigée de Windows. Les mises à jour Office Insider Preview sont fournies aux clients dans différents anneaux. Dans le cadre du programme de primes, vous êtes invité à soumettre les bogues sur l'anneau Lent d'Office Insider Preview. Pour plus d'informations, consultez https://products.office.com/en-us/office-insider et https://products.office.com/en-us/try.

Le programme de primes Microsoft Office Insider est soumis aux conditions légales indiquées ici.

DE QUOI UNE SOUMISSION ÉLIGIBLE EST-ELLE CONSTITUÉE ?

Le programme de primes aux bogues Microsoft entend récompenser les soumissions de qualité reflétant vos efforts de détection. Votre rapport a pour objectif de partager vos connaissances et votre expertise avec les développeurs et ingénieurs Microsoft pour leur permettre de comprendre et de reproduire de manière efficace ce que vous avez découvert. Ainsi, ils disposent du contexte nécessaire à la correction de la vulnérabilité.

Pour donner lieu à une prime, les soumissions de vulnérabilités fournies à Microsoft doivent être conformes aux critères suivants :
  • Identifier une vulnérabilité jamais signalée prise en compte et se reproduisant dans notre dernière build d’Office Insider (anneau Lent) sur une machine Windows 10 entièrement corrigée.
  • Inclure une description du problème et des étapes de reproductibilité faciles à comprendre. (Cela accélère le traitement des soumissions et peut permettre d'obtenir la prime la plus élevée pour le type de vulnérabilité signalé.)
  • Inclure l’impact de la vulnérabilité
  • Inclure un vecteur d’attaque s’il n’est pas évident

Portée :

Dernière build (anneau Lent) d'Office Insider Preview sur une machine Windows 10 entièrement corrigée

Non pris en compte :

  • Builds Office Insider Preview plus anciennes que la build actuelle (anneau Lent)
  • Builds Office Insider Preview sur de plus anciens systèmes d’exploitation
  • Office pour Mac
  • Applications Office pour iOS et Android
Les soumissions qualifiées peuvent donner lieu à une prime de 500 à 15 000 USD. Celle-ci sera octroyée à la seule discrétion de Microsoft en fonction de la qualité et de la complexité de la vulnérabilité. Certaines soumissions peuvent donner lieur à des primes supérieures à 15 000 USD.

COMMENT LES MONTANTS DES PRIMES SONT-ILS FIXÉS ?

Si plusieurs rapports éligibles signalant le même bogue nous sont adressés par différentes parties externes, la prime peut être accordée à la première soumission éligible reçue sur la base des critères mentionnés ci-dessus.

Si un rapport en double nous fournit des informations qui permettent de faire avancer la recherche de la vulnérabilité, cette soumission peut donner lieu à une prime supplémentaire.


La fourchette de récompense qui s'applique aux soumissions éligibles dépend de ce qui suit :
Qualité du rapport
Plage de versements potentiels (USD) *
Élévation de privilège via échappement du bac à sable Mode protégé Office (exclut les vulnérabilités des composants et bibliothèques non installés par Office ou le bac à sable AppContainer, applicables à toute application qui les utilise)
Non
Obligatoire
Élevées
Jusqu’à 15 000 USD
Non
Obligatoire
Faibles
Jusqu’à 9 000 USD
Exécution de macros en contournant les stratégies de sécurité pour bloquer les macros Office dans Word, Excel et PowerPoint.
Non
Obligatoire
Élevées
Jusqu’à 15 000 USD
Non
Obligatoire
Faibles
Jusqu’à 9 000 USD
Exécution de code en contournant les stratégies de blocage automatique des pièces jointes Outlook pour un ensemble prédéfini d’extensions, répertoriées ci-dessous, et bloquées par défaut par Outlook.
Non
Obligatoire
Élevées
Jusqu’à 9 000 USD
Non
Obligatoire
Faibles
Jusqu’à 6 000 USD
* Des versements plus élevés sont possibles, à la seule discrétion de Microsoft, en fonction de la qualité et de la complexité de la soumission

DÉFINITIONS EN MATIÈRE DE SOUMISSIONS ÉLIGIBLES :

Élévation de privilège via échappement de bac à sable Mode protégé Office
Pour garantir la sécurité des utilisateurs, Office utilise le Mode protégé afin d'ouvrir des documents non approuvés. Nous recherchons des chercheurs pour nous envoyer des informations sur les techniques basées sur Office pour échapper au bac à sable et autres escalades de privilèges.

Contournement de la stratégie de sécurité par défaut pour bloquer l’exécution des macros
Par défaut, les stratégies de sécurité des macros bloquent l’exécution de ces dernières sans intervention de l’utilisateur. Dans le cadre de ce programme de primes, nous encourageons les chercheurs à nous envoyer des informations sur les vulnérabilités permettant l’exécution automatique des macros dans Microsoft Word, Excel et PowerPoint, sans interaction supplémentaire de l’utilisateur dans la configuration par défaut, et sans approbation du document.
Contournement de la liste de blocage de pièces jointes dans Outlook
Plusieurs extensions de fichier sont actuellement bloquées en tant que pièces jointes dans Outlook. Nous recherchons des techniques qui permettent de contourner les stratégies de blocage existantes pour la liste d’extensions détaillée ci-dessous.

La liste la plus récente des extensions bloquées est la suivante :
ade;adp;app;asp;bas;bat;cer;chm;cmd;cnt;com;cpl;crt;csh;der;diagcab;exe;
fxp;gadget;grp;hlp;hpj;hta;inf;ins;isp;its;jar;jnlp;js;jse;ksh;lnk;mad;maf;mag;
mam;maq;mar;mas;mat;mau;mav;maw;mcf;mda;mdb;mde;mdt;mdw;mdz;
msc;msh;msh1;msh2;msh1xml;msh2xml;mshxml;msi;msp;mst;ops;osd;
pcd;pif;pl;plg;prf;prg;ps1;ps2;ps1xml;ps2xml;psc1;psc2;pst;reg;scf;scr;sct;
shb;shs;tmp;url;vb;vbe;vbp;vbs;vsmacros;vsw;ws;wsc;wsf;wsh;xbap;xll;xnk

De plus amples informations sur les pièces jointes bloquées dans Outlook sont disponibles ici.

Remarque : cela ne s'applique PAS lorsqu'une extension de fichier bloquée en tant que pièce jointe peut mener à un RCE. Par exemple, nous ne bloquons pas certains types de pièces jointes exécutables installés par des logiciels tiers.

DE QUOI UNE SOUMISSION INÉLIGIBLE EST-ELLE CONSTITUÉE ?

L'objectif du programme de primes aux bogues est de détecter les vulnérabilités importantes qui ont un impact direct et démontrable sur la sécurité de nos utilisateurs et de leurs données. Nous encourageons toutes les soumissions décrivant les vulnérabilités relatives à la sécurité dans nos navigateurs. Cela dit, voici des exemples de vulnérabilités qui ne donnent lieu à aucune prime dans le cadre de ce programme :
  • Vulnérabilités détectées dans des versions antérieures à la build Office Insider (anneau Lent) actuelle sur Windows Desktop
  • Vulnérabilités détectées dans les contenus générés par les utilisateurs
  • Vulnérabilités nécessitant des actions approfondies ou improbables de la part de l'utilisateur
  • Vulnérabilités détectées en désactivant les fonctionnalités de sécurité existantes
  • Vulnérabilités dans des composants non installés par Office
  • Vulnérabilités dans des composants tiers susceptibles d'être installés sur le système
  • Vulnérabilités relatives au contournement du Mode protégé lorsque celui-ci n'est pas explicitement activé dans le code Office ou activé par défaut pour le scénario signalé.
  • Vulnérabilités dans le conteneur d'application

Toute autre catégorie de vulnérabilité que Microsoft détermine comme non éligible, à sa seule discrétion.

Nous nous réservons le droit de rejeter toute soumission qui, à notre seule discrétion, entre dans l'une des catégories de vulnérabilités suivantes, même si celle-ci est par ailleurs éligible à une prime.

MENTION LÉGALE

Des informations supplémentaires sur les directives légales sont disponibles ici.

Merci d'avoir participé au programme de primes aux bogues de Microsoft.


HISTORIQUE DES RÉVISIONS

  • 7 décembre 2018 : Mise à jour de la stratégie de rapports en double et ajout de l’historique des révisions.