DESCRIPTION DU PROGRAMME :

Le programme de primes Xbox invite les joueurs, les chercheurs en sécurité et d’autres personnes du monde entier à aider à identifier les failles de sécurité du réseau et des services Xbox Live et à les partager avec l’équipe Xbox. Les soumissions qualifiées peuvent donner lieu à des primes comprises entre 500 et 20 000 USD.

Les primes sont accordées à la discrétion de Microsoft en fonction de la gravité et de l’impact de la vulnérabilité, ainsi que de la qualité de la soumission. Elles sont par ailleurs soumises aux Conditions générales du programme de primes Microsoft.

QU'EST-CE QUI CONSTITUE UNE SOUMISSION ÉLIGIBLE ?

L’objectif du programme de primes aux bogues est de détecter les vulnérabilités importantes qui ont un impact direct et démontrable sur la sécurité des clients de Microsoft. Pour donner lieu à une prime, les soumissions de vulnérabilités doivent être conformes aux critères suivants :

  • Identifier une vulnérabilité jamais signalée qui se reproduit dans notre dernière version ayant tous les correctifs installés du réseau et des services Xbox Live au moment de la soumission.
  • Des informations claires, concises et reproductibles, doivent être fournies par écrit ou sous forme de vidéo.
    • Cela accélère la révision des soumissions et peut permettre d’obtenir des primes plus élevées.

PRISE EN MAIN

Inscrivez-vous et créez un compte d’accès au réseau Xbox. Nous vous recommandons de créer un ou plusieurs comptes de test pour effectuer des recherches sur les failles de sécurité.

  • L’accès à un appareil Xbox 360, Xbox One, Xbox One S ou Xbox One X n’est pas requis pour les tests, mais peut être utile. Veuillez noter que les consoles ne sont pas fournies aux fins de test.
  • L’accès à un compte Xbox Gold, Project xCloud, Xbox Game Pass, Xbox Game Pass pour PC ou Xbox Game Pass Ultimate n’est pas requis pour les tests, mais peut être utile. Veuillez noter que les comptes payants ne sont pas fournis aux fins de test.

Suivez Xbox sur Twitter, le site de la communauté Xbox et les forums et découvrez ce qui se profile à l’horizon sur Xbox Insider pour connaître les toutes dernières fonctionnalités et sorties.

COMMENT LES MONTANTS DES PRIMES SONT-ILS FIXÉS ?

Les primes sont comprises entre 500 et 20 000 USD. Des primes plus élevées sont possibles, à la seule discrétion de Microsoft, en fonction de la qualité du rapport et de l’impact de la vulnérabilité. Les soumissions qui ne peuvent pas donner lieu à une prime peuvent néanmoins être éligibles à une reconnaissance publique si elles aboutissent à un correctif de vulnérabilité.

Impact sur la sécurité

Qualité du rapport

Gravité

Critique

Importante

Modérées

Faibles

Exécution de code à distance

Élevées

Moyenne

Faibles

20 000 USD

15 000 USD

10 000 USD

15 000 USD

10 000 USD

5 000 USD

S.O.

S.O.

Élévation de privilège

Élevées

Moyenne

Faibles

8 000 $

4 000 $

3 000 $

5 000 $

2 000 USD

1 000 $

0 USD

S.O.

Contournement des fonctionnalités de sécurité

Élevées

Moyenne

Faibles

S.O.

5 000 USD

2 000 USD

1 000 $

0 USD

S.O.

Divulgation d’informations

Élevées

Moyenne

Faibles

S.O.

5 000 USD

2 000 USD

1 000 $

0 USD

0 USD

Usurpation d'identité

Élevées

Moyenne

Faibles

S.O.

3 000 USD

2 000 USD

500 USD

0 USD

0 USD

Falsification

Élevées

Moyenne

Faibles

S.O.

3 000 USD

2 000 USD

500 USD

0 USD

0 USD

Déni de service

Élevé/Faible

Non pris en compte

S/O : les vulnérabilités à l’origine de l’impact répertorié en matière de sécurité ne peuvent pas être prises en compte dans cette catégorie de gravité category 

Un rapport de qualité supérieure fournit les informations dont un ingénieur a besoin pour reproduire, comprendre et résoudre rapidement le problème. Celui-ci inclut généralement un texte concis ou une brève vidéo contenant les informations de base requises, une description du bogue et une preuve de concept jointe. Des exemples de rapports de qualité inférieure et supérieure sont disponibles ici.  

Nous sommes conscients que certains problèmes sont extrêmement difficiles à reproduire et à comprendre. Nous en tiendrons donc compte lorsque nous étudierons la qualité de chaque soumission. 

VULNÉRABILITÉS PRISES EN COMPTE

Vous trouverez ci-dessous des exemples de vulnérabilités susceptibles d'entraîner un ou plusieurs des problèmes de sécurité mentionnés précédemment :

  • Exécution de scripts de site à site (XSS)
  • Falsification de requête intersite (CSRF)
  • Références directes à des objets non sécurisées
  • Désérialisation non sécurisée
  • Vulnérabilités d'injection
  • Exécution de code côté serveur
  • Configuration incorrecte de la sécurité (lorsqu'elle n'est pas due à l'utilisateur)
  • Failles démontrables dans des composants tiers
    • Nécessite une preuve de concept complète de l’exploitabilité. Par exemple, l’identification et la non-mise à jour de la bibliothèque ne sont pas éligibles à une prime

QUELLES SONT LES RÈGLES RÉGISSANT LES TESTS DES SERVICES MICROSOFT ONLINE ÉLIGIBLES À UNE PRIME ?

Ce programme s’applique uniquement aux vulnérabilités techniques du réseau Xbox.

Les activités suivantes sont interdites dans le cadre du programme de primes Xbox :

  • Tout type de test de déni de service.
  • Tests automatisés de services générant un trafic important.
  • Accès à des données qui ne vous appartiennent pas entièrement. Par exemple, vous êtes autorisé et encouragé à créer un petit nombre de comptes de test afin de démontrer et de prouver des accès inter-comptes. En revanche, vous n'avez pas le droit d'utiliser l'un de ces comptes pour accéder aux données d'un client ou d'un compte légitime.
  • Aller au-delà des étapes de reproduction de « preuve de concept » minimales et nécessaires pour les problèmes d’exécution côté serveur
  • Tentative de hameçonnage ou autre forme de piratage psychologique sur nos employés ou clients Xbox.

Outre ces interdictions, Microsoft se réserve le droit de réagir à toute action potentiellement malveillante sur ses réseaux.

VULNÉRABILITÉS NON PRISES EN COMPTE

Microsoft se fait un plaisir de recueillir et d’examiner les soumissions au cas par cas, mais certains types de soumissions et de vulnérabilités peuvent ne pas être éligibles à une prime. Voici quelques-uns des problèmes courants de faible gravité ou non pris en compte qui ne peuvent généralement pas donner lieu à une prime :

  • Vulnérabilités divulguées publiquement qui ont déjà été signalées à Microsoft, ou dont la communauté de sécurité au sens large a déjà connaissance
  • Types de vulnérabilités non pris en compte, notamment :
    • Divulgation d'informations côté serveur telles que les adresses IP, les noms de serveur et la plupart des rapports des appels de procédure
    • Bogues CSRF à faible impact (tels que les déconnexions)
    • Problèmes de déni de service
    • Problèmes liés à une fraude
    • Prises de contrôle des sous-domaines
    • Vulnérabilités liées à la relecture de cookies
    • Redirections d'URL (sauf si elles sont combinées avec une autre vulnérabilité pour produire une vulnérabilité plus grave)
  • Vulnérabilités basées sur une configuration ou une action de l'utilisateur, par exemple :
    • Vulnérabilités nécessitant des actions approfondies ou improbables de la part de l'utilisateur
    • Vulnérabilités liées au contenu ou aux applications créées par l'utilisateur
  • Vulnérabilités basées sur des tiers, par exemple :
    • Vulnérabilités dans des logiciels tiers identifiées sans preuve de concept
  • Vulnérabilités dans d’autres produits Microsoft :
  • Vulnérabilités dans Mixer, GamePass, xCloud, Xbox.com
  • Vulnérabilités dans les sites tiers qui n’appartiennent pas à Microsoft et les sites liés aux efforts de marketing
    • Vérifiez les enregistrements « WHOIS » de toutes les adresses IP résolues avant les tests afin de vous assurer qu'elles appartiennent à Microsoft. Certains tiers hébergent des sites pour Microsoft dans des sous-domaines appartenant à Microsoft. Ces tiers ne sont pas concernés par ce programme de primes aux bogues.
  • Les vulnérabilités dans les studios de jeu Microsoft incluent, sans toutefois s’y limiter :
    • compulsiongames.com
    • doublefine.com
    • inxile.net
    • ninjatheory.com
    • obsidian.net
    • playground-games.com
    • undeadlabs.com

Nous nous réservons le droit de rejeter toute soumission qui, à notre seule discrétion, entre dans l’une des catégories de vulnérabilités suivantes ou autres, même si celle-ci est par ailleurs éligible à une prime.

ENVOI DE LA SOUMISSION

Envoyez votre soumission complète à Microsoft à partir du portail de soumission du Centre de réponse aux problèmes de sécurité Microsoft, en suivant le format recommandé dans nos instructions de soumission. Lors des signalements de vulnérabilités, vous êtes invité à suivre le processus de divulgation coordonnée des vulnérabilités. Nous mettrons tout en œuvre, dans la limite du raisonnable, pour clarifier les soumissions indéchiffrables ou incomplètes.

PRIMES

Microsoft est le seul habilité à déterminer, à sa seule discrétion, le montant des primes, ainsi que les soumissions éligibles et prises en compte.

  • Il n'existe aucune restriction quant au nombre de soumissions qualifiées qu'une personne peut présenter ou au nombre de primes qu'elle peut recevoir.
  • Si plusieurs rapports signalant le même bogue nous sont adressés par différentes parties, la prime est accordée à la première soumission complète et reproductible. 
  • Si un rapport en double nous fournit des informations dont nous n'avions pas encore connaissance, cette soumission peut donner lieu à une prime supplémentaire.
  • Si une soumission est potentiellement éligible à plusieurs programmes de primes, vous ne toucherez qu’une seule prime (la plus élevée des différents programmes). 
  • Et si elle n’est couverte par aucun programme de primes existant, nous reconnaîtrons publiquement vos contributions importantes et critiques lorsque nous corrigerons la vulnérabilité.
  • Toutes les soumissions de vulnérabilité valides sont prises en compte dans notre Programme de reconnaissance des chercheurs et dans notre classement, même si elles ne peuvent pas donner lieu à une prime. 

CONDITIONS GÉNÉRALES DE PRIMES

Pour plus d’informations sur les conditions relatives aux programmes de primes Microsoft et sur les directives légales, consultez nos Conditions générales des programmes de primes, les Principes de la Sphère de sécurité (Safe Harbor) et notre FAQ

Vous avez des questions ? Nous sommes à votre disposition par e-mail à l’adresse secure@microsoft.com.

Merci d'avoir participé au programme de primes aux bogues de Microsoft.

HISTORIQUE DES RÉVISIONS

  • 30 janvier 2020 : Lancement du programme de primes Xbox