Le Centre de réponse aux problèmes de sécurité Microsoft examine tous les rapports sur les vulnérabilités de sécurité qui affectent les produits et services Microsoft. Si vous êtes chercheur en sécurité et que vous pensez avoir trouvé une faille de sécurité Microsoft, nous aimerions travailler avec vous pour l’examiner.

Veuillez noter que le Centre de réponse aux problèmes de sécurité Microsoft ne fournit pas de support technique pour les produits Microsoft. Si vous avez besoin d’aide autre que le signalement d’une faille de sécurité possible, consultez l’affirmation ci-dessous qui correspond le mieux à votre situation et développez-la pour connaître les étapes à suivre.
|

Remarque : les instructions ci-dessous supposent que vous effectuez des recherches pour votre propre compte. Si vous avez découvert une vulnérabilité lors de travaux effectués pour le compte d'une autre entité (par exemple, lors de tests d'intrusion), veuillez cliquer ici.

Si vous pensez que vous avez trouvé une faille de sécurité qui correspond à la définition d’une faille de sécurité de Microsoft, veuillez envoyer le rapport au Centre de réponse aux problèmes de sécurité Microsoft à l’adresse https://msrc.microsoft.com/create-report. Veuillez inclure les informations demandées ci-dessous (si vous les connaissez) pour nous aider à mieux comprendre la nature et l'étendue du problème potentiel. Si la vulnérabilité que vous signalez provient d'un test d'intrusion, veuillez contacter les services de support technique Microsoft qui vous aideront à interpréter le rapport et à remédier au problème. Si le rapport contient une nouvelle faille de sécurité, les services de support technique vous mettront en contact avec le Centre de réponse aux problèmes de sécurité Microsoft ou vous permettront d'effectuer un signalement directement auprès d'eux.
  • Type de problème (dépassement de mémoire tampon, injection de code SQL, script entre sites, etc.)
  • Produit et version qui contient le bogue, ou URL pour un service en ligne
  • Service Packs, mises à jour de sécurité ou autres mises à jour pour le produit que vous avez installé
  • Toute configuration spéciale requise pour reproduire le problème
  • Instructions pas à pas pour reproduire le problème sur une nouvelle installation
  • Preuve de concept ou code du code malveillant exploitant une faille de sécurité
  • Impact du problème, notamment comment un attaquant peut exploiter le problème
Ces informations nous aideront à donner une priorité au rapport plus rapidement. Si vous signalez une faille de sécurité Bug Bounty, des rapports plus complets peuvent contribuer à une prime plus élevée. Pour plus d'informations et pour connaître les conditions d'utilisation de nos programmes de primes actifs, visitez notre page Microsoft Bug Bounty.
 
Vous devriez recevoir une réponse de notre équipe dans un délai d'un jour ouvrable. Si nous ne revenons pas vers vous, veuillez nous envoyer un message de suivi pour que nous puissions vous confirmer que nous avons reçu votre message d’origine.
 
Le Centre de réponse aux problèmes de sécurité Microsoft suit les processus suivants pour tous les rapports de vulnérabilité :
  • Il attribue une priorité à votre rapport et détermine si nous devons ouvrir un incident pour une investigation plus approfondie.
  • Il examine le rapport et prend des mesures en fonction de nos critères de maintenance publiés.
  • Il reconnaît publiquement votre contribution à la protection de l’écosystème lors de la publication d’un correctif.
Microsoft suit le principe de divulgation coordonnée des vulnérabilités et, pour protéger l’écosystème, nous demandons à ce que les rapports qui nous sont envoyés suivent ce même principe.

Merci de nous avoir signalé une vulnérabilité. Lorsque vous soumettez un rapport de vulnérabilité à nos gestionnaires d'incidents, nous en accusons généralement réception dans un délai d'un jour ouvrable. Nos équipes travaillent du lundi au vendredi, aux heures de bureau habituelles. Si vous ne recevez pas de réponse dans un délai de deux jours ouvrables, vérifiez que la réponse ne se trouve pas dans votre dossier Courrier indésirable.

 

Que se passe-t-il ensuite ?

  • Triage : Notre équipe détermine si votre signalement est conforme à la définition d'une faille de sécurité et l'attribue au groupe d'ingénierie produit. Si vous avez opté pour les communications automatiques, vous devez recevoir un message de notre équipe de triage lorsque votre dossier est classé sans suite ou lorsqu'il nécessite une évaluation plus approfondie.
  • Attribution et évaluation des incidents : Si votre signalement est considéré comme une faille de sécurité, un numéro d'incident lui sera attribué. Un gestionnaire d'incidents supervisera son évaluation et la création d'un plan pour remédier à la vulnérabilité.
  • Évaluation : Si nous reproduisons votre problème, nous en évaluons la gravité et l'impact, puis le transmettons à nos ingénieurs produit pour qu'ils prennent les mesures nécessaires. Sur le portail, vous devriez voir l'état de votre incident passer au stade « évaluation ». Si vous avez opté pour les communications automatiques, un e-mail de confirmation vous sera adressé. Ce processus peut prendre un certain temps en fonction de la complexité du problème et de l'exhaustivité du signalement. Normalement, vous devriez recevoir un e-mail lorsque votre incident passera au stade « développement », quelques semaines plus tard. Si vous ne recevez pas de réponse de notre part, vérifiez qu'elle se trouve dans votre dossier Courrier indésirable. Cette absence de réponse peut aussi indiquer que l'évaluation du problème nécessite plus de temps en raison de sa complexité.
  • Développement : Si nous parvenons à reproduire votre problème, nous transmettrons votre incident au groupe d'ingénierie approprié pour qu'il prenne les mesures nécessaires. Certains incidents ne se prêtent pas à une intervention immédiate et peuvent être considérés comme des cas à traiter dans le cadre d'une mise en production ultérieure.
  • Mise en production : les incidents qui ont atteint cet état sont en cours de préparation pour leur mise en production. Parfois, cela signifie qu'ils attendent une publication officielle dans le cadre de notre mise en production Patch Tuesday, ou qu'ils attendent une autre mise à jour du service. Une fois votre incident corrigé et l'état Résolu atteint, félicitations, vous êtes libre de présenter publiquement vos conclusions. Nous vous attribuerons le mérite de votre travail (sauf indication contraire) sur la page des remerciements aux chercheurs.

Si votre compte Outlook.com a été compromis, vous pouvez prendre des mesures pour récupérer votre compte et l’empêcher d’être à nouveau piraté.

Visitez le site de support Windows pour savoir comment gérer les mots de passe oubliés et les autres problèmes de connexion.

Si votre ordinateur présente les symptômes de logiciels espions, de virus ou d’autres logiciels indésirables, vous devez d’abord laisser votre logiciel antivirus analyser votre ordinateur et essayer de résoudre le problème.

Vous devez également vous assurer que votre ordinateur dispose de toutes les mises à jour de sécurité Microsoft Update les plus récentes et que vous recevez automatiquement les mises à jour de sécurité.

Si vous continuez à rencontrer des problèmes, vous trouverez des options de support supplémentaires en visitant le Virus and Security Solution Center.

Si vous rencontrez des problèmes lors des mises à jour de sécurité Microsoft, vous pouvez visiter le site du support Microsoft pour accéder aux correctifs liés aux problèmes Windows Update ou contacter le support technique Microsoft.
 
 
Si vous avez besoin d’informations techniques sur les mises à jour de sécurité, reportez-vous au Guide des mises à jour de sécurité, où vous pouvez rechercher des informations sur une mise à jour spécifique ou filtrer par date de sortie et/ou plage de produits.
 

Pour trouver les informations de support appropriées pour votre site, visitez les services de support technique Microsoft.

Consultez la page d’accueil des forums sur TechNet pour parcourir les questions et les réponses, ou posez votre propre question.

Les cybercriminels utilisent souvent des e-mails de phishing pour tenter de voler des informations personnelles. Découvrez comment reconnaître à quoi ressemble un e-mail de hameçonnage et comment éviter les escroqueries qui utilisent le nom de Microsoft de manière frauduleuse.

Pour en savoir plus sur les dernières escroqueries, parcourez les billets de blog Security Tips & Talk.

Si vous pensez avoir été victime d’une escroquerie, découvrez comment vous pouvez la signaler et vous protéger à l’avenir.

Pour plus d’informations, envoyez un e-mail à piracy@microsoft.com ou visitez le site de protection contre le piratage de logiciels Microsoft.

Envoyez votre commentaire sur le virus, le ver ou le cheval de Troie à avsubmit@submit.microsoft.com. Envoyez votre soumission de logiciel espion ou autre logiciel malveillant à l’adresse windefend@submit.microsoft.com.

Pour plus d’informations, consultez la page Support Microsoft.
 

Please submit your thoughts at Contact Us: Questions About Microsoft Products.