Cette page répond aux questions fréquemment posées sur le programme de primes Microsoft. Veuillez consulter les Conditions générales du programme de primes Microsoft pour prendre connaissance de l'ensemble des conditions générales qui s'appliquent au programme de primes Microsoft.
|

Soumettez à Microsoft la vulnérabilité que vous avez repérée en utilisant notre portail en ligne et en veillant à inclure des indications pour reproduire la vulnérabilité, en suivant les instructions de soumission de bogues qui figurent ici
 
Remarques importantes :
  • Lors des signalements de vulnérabilités à Microsoft, vous êtes invité à suivre le processus de divulgation coordonnée des vulnérabilités, faute de quoi vous ne pourrez peut-être pas prétendre à une prime ni participer à des programmes de primes.
  • Microsoft mettra tout en œuvre, dans la limite du raisonnable, pour clarifier les soumissions indéchiffrables ou incomplètes, mais sachez que les soumissions les plus complètes donnent généralement lieu aux primes les plus élevées (pour plus de détails, reportez-vous au tableau des primes du programme).
  • Il n'existe aucune restriction quant au nombre de soumissions qualifiées qu'une personne peut présenter et pour lesquelles elle peut potentiellement bénéficier d'une prime.

  1. Vous recevrez un e-mail confirmant que nous avons bien reçu votre soumission.
  2. L'équipe d'ingénierie et les managers d'incidents du Centre de réponse aux problèmes de sécurité Microsoft examineront la soumission, notamment la reproduction de la vulnérabilité et l'évaluation de la gravité et de l'impact sur la sécurité. Le temps d'examen peut varier en fonction de la complexité et de l'exhaustivité de votre soumission, mais prend généralement 2 semaines.
  3. Une fois que votre soumission a été reproduite et évaluée, l'équipe de primes l’examine pour étudier son admissibilité aux primes. Si votre soumission est éligible à une récompense, l'équipe de primes vous contactera pour partager la bonne nouvelle et commencer le processus de paiement de la récompense.
  4. Vous devrez vous inscrire auprès de l'un de nos prestataires de services de paiement. Une fois inscrit, vous recevrez votre prime via ce prestataire.
  5. Nous citerons la plupart des bénéficiaires des primes dans le cadre de nos remerciements aux chercheurs en sécurité ou de nos remerciements aux acteurs de la sécurité de nos services en ligne.

Veuillez consulter la section Éligibilité au programme des Conditions générales du programme de primes Microsoft.

Veuillez consulter la section Éligibilité au programme des Conditions générales du programme de primes Microsoft.

  • Les produits et services concernés par les primes et les montants des primes sont publiés sur les pages des Programmes de primes Microsoft.
  • Microsoft se réserve le droit de déterminer, à sa seule discrétion, les soumissions qualifiées.
  • Si plusieurs rapports signalant le même bogue nous sont adressés par différentes parties, la prime sera accordée à la première soumission éligible.
  • Si un rapport en double nous fournit des informations dont nous n'avions pas encore connaissance, l'auteur de celui-ci peut prétendre à une prime supplémentaire.
  • Si une soumission est potentiellement éligible à plusieurs programmes de primes, vous ne toucherez qu'une seule prime (la plus élevée des différents programmes).

La prime n'est qu'une des façons dont nous reconnaissons les chercheurs qui nous aident à protéger les clients Microsoft. Si votre soumission n'est pas éligible aux primes, vous pouvez toujours recevoir des points dans le cadre du programme de reconnaissance des chercheurs et une reconnaissance publique pour votre contribution aux correctifs et aux mises à jour.

La protection des clients est la priorité absolue de Microsoft. Nous nous efforçons de traiter chaque rapport de vulnérabilité dans les meilleurs délais. Ce faisant, nous exigeons que les soumissions générant des primes restent confidentielles et ne soient pas divulguées à des tiers. Vous pouvez mettre à disposition des descriptions globales de vos recherches et des démonstrations non réversibles une fois la vulnérabilité corrigée. Nous exigeons que le code d'exploitation détaillé lié à la preuve de concept et les détails susceptibles de faciliter les attaques de clients restent confidentiels pendant 30 jours après la résolution de la vulnérabilité. Microsoft vous préviendra lorsque la vulnérabilité liée à votre soumission sera corrigée. Si une prime vous est versée avant que le correctif ne soit publié, ce versement ne doit pas être considéré comme une notification d'achèvement du correctif.
  • Veuillez contacter bounty@microsoft.com si vous souhaitez discuter publiquement de la vulnérabilité une fois celle-ci corrigée, notamment par le biais de billets de blog, de présentations publiques, de livres blancs ou d'autres supports.
  • Pour que les utilisateurs aient le temps de se mettre à jour, nous vous recommandons généralement d'attendre au moins 30 jours après la résolution de votre soumission par Microsoft pour en discuter publiquement.

Oui. Nous souhaitons être informés des failles de sécurité dès qu'elles sont découvertes. Nous vous accorderons la prime correspondant à la vulnérabilité signalée. Si vous nous fournissez l'exploit dans les 90 jours qui suivent la soumission de la vulnérabilité, tout rapport de qualité supérieure ou rapport sur l'exploit vous permettra de bénéficier d'une prime supplémentaire. Par exemple, si vous soumettez un RCE critique, vous recevrez 6 000 $ lors de l'acceptation. Et si vous soumettez l'exploit correspondant dans les 90 jours, vous recevrez les 9 000 $ supplémentaires.

Nous évaluons constamment nos programmes afin de déterminer comment renforcer les relations gagnant-gagnant entre la communauté des chercheurs de sécurité et les clients de Microsoft.

Si vous soumettez une idée de contournement des mesures d'atténuation dont vous êtes l'auteur, vous n'avez pas besoin de vous préinscrire. Il vous suffit de l'envoyer à secure@microsoft.com. Si vous soumettez une technique de contournement des mesures d'atténuation dont vous n'êtes pas l'auteur, vous devez vous préinscrire avant de la soumettre. Commencez par envoyer un e-mail à bounty@microsoft.com. Les conditions générales du programme sont disponibles ici.

Oui, si vous soumettez une méthode de défense capable de bloquer les contournements de mesures d'atténuation existants, et que celle-ci est considérée comme nouvelle et pratique au sens des conditions générales, nous vous accorderons jusqu'à 100 000 USD. Si vous disposez d'une technique défensive et de l'exploit correspondant pour prouver que la technique fonctionne, vous serez éligible.

Microsoft s'associe à HackerOne et Bugcrowd pour le versement des primes aux chercheurs éligibles. HackerOne et Bugcrowd nous aident à procéder rapidement au versement des primes, en offrant un plus grand nombre d'options comme Paypal, Payoneer, les dons, la cryptomonnaie ou le virement bancaire direct dans plus de 30 devises. Les primes Microsoft versées via HackerOne ou Bugcrowd contribueront également à améliorer la réputation globale d’un chercheur sur la plateforme du fournisseur.

Microsoft gère ses programmes de primes indépendamment des plateformes HackerOne et Bugcrowd. Les rapports relatifs aux vulnérabilités doivent être envoyés directement à Microsoft via le portail de soumission du Centre de réponse aux problèmes de sécurité Microsoft ou le site secure@microsoft.com. Les détails de ces soumissions ne seront pas communiqués aux prestataires de services de paiement. Les seules informations que recevront les prestataires de services de paiement sont le montant de la prime, le numéro de l'incident et la gravité de celui-ci. Toute question concernant l'état d'une soumission, d'une évaluation, d'un correctif ou d'une publication doit être adressée à Microsoft.

Nous recommandons à tous les chercheurs d'utiliser HackerOne ou Bugcrowd pour recevoir leurs primes. Les chercheurs qui n'ont pas accès à un de ces prestataires peuvent utiliser le système de paiement d'entreprise de Microsoft pour percevoir leurs primes. Le traitement des récompenses via notre système d'entreprise peut prendre de 1 à 3 mois, ce qui est beaucoup plus long que pour les récompenses délivrées via HackerOne ou Bugcrowd.