DESCRIPTION DU PROGRAMME

Grâce au programme de primes Windows Defender Application Guard (WDAG), partout dans le monde, des personnes ont la possibilité de signaler les vulnérabilités de WDAG détectées dans les dernières versions de Windows 10 Insider Preview (anneau Lent). Les soumissions qualifiées peuvent donner lieu à des récompenses comprises entre 500 et 30 000 USD. Les primes sont accordées à la seule discrétion de Microsoft, et peuvent augmenter en fonction de la qualité et de la complexité de la soumission.
 
Les mises à jour de Windows 10 Insider Preview sont fournies aux testeurs dans différents anneaux. Dans le cadre de ce programme de primes, nous vous demandons de soumettre les bogues dans l'anneau Lent de Windows Insider Preview. Pour plus d'informations, consultez https://insider.windows.com/ et https://insider.windows.com/Home/GetStarted.
 

DE QUOI UNE SOUMISSION ÉLIGIBLE EST-ELLE CONSTITUÉE ?

Pour donner lieu à une prime, les soumissions de vulnérabilités fournies à Microsoft doivent être conformes aux critères suivants :
 
  • Identification d'une vulnérabilité jamais signalée dans les versions éligibles de WDAG
    • WDAG sur Windows 10 (builds les plus récentes de Windows Insider Preview, anneau Lent)
    • Les vulnérabilités affectant Hyper-V sont éligibles pour le programme de primes Microsoft Hyper-V
  • La vulnérabilité doit être reproduite sur les builds WIP (anneau Lent) les plus récentes pour être éligible à une prime
    • Si une soumission est reproduite sur une précédente build WIP (anneau Lent), mais pas dans la build WIP en cours au moment de la soumission, la soumission est inéligible
  • Présentation concise et facile à comprendre des étapes de reproductibilité. (Cela accélère le traitement des soumissions et peut permettre d'obtenir la prime la plus élevée pour le type de vulnérabilité signalé.)
  • La soumission doit inclure le numéro de build WIP (anneau Lent) sur laquelle la vulnérabilité est reproduite.
  • Si plusieurs rapports signalant le même bogue nous sont adressés par différentes parties, la prime sera accordée à la première soumission sur la base des critères mentionnés ci-dessus.
  • Si un rapport en double nous fournit des informations dont nous n'avions pas encore connaissance, cette soumission donnera lieu à une prime supplémentaire.
  • Le premier rapport externe reçu sur un problème interne connu recevra un maximum de 10 % du paiement maximal (par exemple, 3 000 USD pour un RCE WDAG au lieu de 30 000 USD)
  • Un rapport de qualité supérieure requiert une preuve de concept, une description détaillée et/ou un livre blanc
  • Si vous souhaitez soumettre une vulnérabilité pour les conteneurs Hyper-V, vous y serez éligible dans le cadre du programme de primes Microsoft Hyper-V
 

Conteneur WDAG

WDAG s’exécute dans un conteneur Hyper-V qui est isolé du système d’exploitation hôte.
 
Ce programme de primes concerne les bogues du conteneur WDAG et les composants qui affectent directement la sécurité du conteneur, y compris les échappements du conteneur WDAG vers le système d’exploitation hôte. Comme indiqué plus haut, cette prime se distingue du programme de primes Microsoft Hyper-V.
 
 

Exécution de code à distance

 
Une soumission éligible inclut une vulnérabilité RCE dans WDAG qui permet à un invité du conteneur WDAG de compromettre l’hyperviseur, de s'échapper de l’hôte ou de s'échapper d'un conteneur WDAG à un autre.
Qualité du rapport
Plage de versements potentiels (USD)
Vulnérabilité entraînant l’échappement du conteneur WDAG vers l’hôte
Obligatoire
Oui
Élevées
30 000 USD
Non
Élevées
20 000 USD
Non
Faibles 10 000 USD
Vulnérabilité dans le conteneur Application Guard, pas d'échappement au niveau du conteneur
Obligatoire
Non
Élevées
10 000 USD
Non
Faibles
2 000 USD

INFORMATIONS PERTINENTES

DE QUOI UNE SOUMISSION INÉLIGIBLE EST-ELLE CONSTITUÉE ?

L'objectif du programme de primes aux bogues est de détecter les vulnérabilités importantes qui ont un impact direct et démontrable sur la sécurité de nos utilisateurs et de leurs données. Nous encourageons toutes les soumissions décrivant les vulnérabilités relatives à la sécurité dans nos navigateurs. Cela dit, voici des exemples de vulnérabilités qui ne donnent lieu à aucune prime dans le cadre de ce programme :
  • Vulnérabilités détectées dans des versions antérieures à la build Windows Insider (anneau Lent) actuelle
  • Vulnérabilités détectées dans les contenus générés par les utilisateurs
  • Vulnérabilités nécessitant des actions approfondies ou improbables de la part de l'utilisateur
  • Vulnérabilités détectées en désactivant les fonctionnalités de sécurité existantes
  • Toute autre catégorie de vulnérabilité que Microsoft détermine comme non éligible, à sa seule discrétion

Nous nous réservons le droit de rejeter toute soumission qui, à notre seule discrétion, entre dans l'une des catégories de vulnérabilités suivantes, même si celle-ci est par ailleurs éligible à une prime.

MENTION LÉGALE

Des informations supplémentaires sur les directives légales sont disponibles ici.

Merci d'avoir participé au programme de primes aux bogues de Microsoft.