DESCRIPTION DU PROGRAMME

Microsoft continue d’investir massivement dans la sécurité et la confidentialité de nos solutions d’identité grand public (compte Microsoft) et pour les entreprises (Azure Active Directory). Nous nous sommes concentrés sur la création, l’implémentation et l’amélioration des spécifications liées à l’identité qui favorisent une authentification forte, une connexion sécurisée, des sessions, la sécurité de l’API et d’autres tâches d’infrastructure critiques, en tant que membre de la communauté d’experts en normalisation au sein des organismes de normalisation officiels tels que IETF, W3C ou OpenID Foundation.

Le programme de primes Microsoft Identity Bounty invite les chercheurs du monde entier à identifier les vulnérabilités des produits et services d’identité et à les partager avec notre équipe. Les soumissions qualifiées peuvent donner lieu à des primes comprises entre 1 500 et 100 000 USD.

Dans le cadre de notre collaboration avec la communauté des normes OpenID, notre prime inclut des implémentations certifiées de certaines normes OpenID.

Les primes sont accordées à la discrétion de Microsoft en fonction de la gravité et de l’impact de la vulnérabilité, ainsi que de la qualité de la soumission. Elles sont soumises aux conditions générales du programme de primes Microsoft.  
 

Ce programme de primes fonctionne parallèlement au programme Microsoft Identity Research Project Grant en cours.

QU'EST-CE QUI CONSTITUE UNE SOUMISSION ÉLIGIBLE ?

L’objectif du programme de primes aux bogues est de détecter les vulnérabilités importantes qui ont un impact direct et démontrable sur la sécurité des clients de Microsoft. Pour donner lieu à une prime, les soumissions de vulnérabilités doivent être conformes aux critères suivants :

  • Identifier une vulnérabilité critique ou importante non signalée qui a un impact sur la sécurité dans le champ d’application et répond à l’un des critères ci-dessous :
    • Reproduit la dernière version accessible au public des services Microsoft Identity dans le champ d’application.
    • A pour conséquence la prise de contrôle d’un compte Microsoft ou d’un compte Azure Active Directory.
    • Est répertoriée dans les normes OpenID ou avec un protocole compatible avec OpenID et est implémentée dans nos produits, services ou bibliothèques certifiés.
  • Inclut toutes les informations suivantes :
    • Description du problème et des étapes de reproductibilité concises et faciles à comprendre.
    • Impact de la vulnérabilité
    • Vecteur d’attaque s’il n’est pas évident

DOMAINES ET NORMES PRIS EN COMPTE :

  • login.windows.net
  • login.microsoftonline.com
  • login.live.com
  • account.live.com
  • account.windowsazure.com
  • account.activedirectory.windowsazure.com
  • credential.activedirectory.windowsazure.com
  • passwordreset.microsoftonline.com
  • Microsoft Authenticator (applications iOS et Android)*

* Pour les applications mobiles : la recherche doit se reproduire sur la dernière version de l’application et du système d’exploitation mobile.

Portée des normes :

Implémentations certifiées des produits et services Microsoft, répertoriées ici.

  • OpenID Foundation - The OpenID Connect Family
  • OpenID Connect Core
  • OpenID Connect Discovery
  • OpenID Connect Session
  • OAuth 2.0 Multiple Response Types
  • OAuth 2.0 Form Post Response Types

Remarque : les soumissions pour les normes, protocoles ou primes d’implémentation doivent être soumises avec une norme d’identité entièrement ratifiée dans la portée de cette prime. Elles doivent par ailleurs indiquer la découverte d’une vulnérabilité de sécurité avec la norme ou le protocole implémenté dans nos produits, services ou bibliothèques certifiés.

Les professionnels des normes ayant contribué ou étant affilié à des groupes de travail sur les normes d’identité ne sont pas éligibles pour recevoir des primes liées aux normes.

PRIMES

Les primes sont comprises entre 1 500 et 100 000 USD. Des primes plus élevées sont possibles, à la seule discrétion de Microsoft, en fonction de la qualité, de la gravité et de l’impact de la soumission.

Impact sur la sécurité
Qualité du rapport
Gravité
Critique
Important

Modérées

Faibles

Élévation de privilège
(impliquant le contournement de l’authentification multifacteur)

Haute

Moyenne

Faibles

100 000 USD

75 000 USD

45 000 USD

50 000 USD

25 000 USD

10 000 USD

0 USD

0 USD

Élévation de privilège
(par exemple contournement de l’authentification ou défaut d’authentification)

Haute

Moyenne

Faibles

40 000 USD

20 000 USD

8 000 USD

20 000 USD

10 000 USD

2 500 USD

0 USD

0 USD

Usurpation d'identité

(par exemple

filtre anti-script de site à site (XSS) ou Falsification de requête intersite (CSRF))

Élevées
Moyenne
Faible
20 000 USD
10 000 USD
6 000 USD
10 000 USD
5 000 USD
1 500 USD

0 USD

0 USD

Divulgation d’informations

(par exemple Données sensibles

Exposition)

Élevées
Moyenne
Faible
12 000 USD
6 000 USD
4 500 USD
7 500 $
3 000 USD
1 500 USD

0 USD

0 USD

Vulnérabilités

liées à la conception de normes

(des limitations peuvent s’appliquer, voir la section Hors champ d’application ci-dessous)

Haute
Moyenne
Faible
100 000 USD
60 000 USD
25 000 USD
30 000 USD
20 000 USD
2 500 USD

0 USD

0 USD

Vulnérabilités

d’implémentation

basées sur des normes

(des limitations peuvent s’appliquer, voir la section Hors champ d’application ci-dessous)

Haute
Moyenne
Faible
75 000 USD
50 000 USD
20 000 USD
25 000 USD
10 000 USD
2 500 USD

0 USD

0 USD

Un rapport de qualité supérieure fournit les informations dont un ingénieur a besoin pour reproduire, comprendre et résoudre rapidement le problème. Celui-ci inclut généralement un texte concis ou une brève vidéo contenant les informations de base requises, une description du bogue et une preuve de concept jointe. Des exemples de rapports de qualité inférieure et supérieure sont disponibles ici.  

Nous ne réduirons pas les notes de qualité des rapports pour les problèmes difficiles à reproduire ou à comprendre en raison de leur complexité.

 
 
 

COMMENT CRÉER DES COMPTES D’ESSAI POUR TESTER DES SERVICES DE COMPTES AZURE ET MICROSOFT ADMISSIBLES AUX PRIMES ?

Vous devez créer des comptes de test et tester la sécurité des locataires.

Dans tous les cas, si possible, incluez la chaîne « MSOBB » dans le nom de votre compte et/ou du locataire afin d’indiquer qu’il est utilisé dans le cadre du programme de primes aux bogues.

ENVOI DE LA SOUMISSION

Envoyez votre soumission complète à Microsoft à partir du portail de soumission du Centre de réponse aux problèmes de sécurité Microsoft, en suivant le format recommandé dans les instructions de soumission des bogues. Lors des signalements de vulnérabilités, vous êtes invité à suivre le processus de divulgation coordonnée des vulnérabilités. Nous mettrons tout en œuvre, dans la limite du raisonnable, pour clarifier les soumissions indéchiffrables ou incomplètes.
 
Vous avez des questions ? Nous sommes à votre disposition par e-mail à l’adresse secure@microsoft.com.
 

Non pris en compte :

  • Vulnérabilités divulguées publiquement qui ont déjà été signalées à Microsoft, ou dont la communauté de sécurité au sens large a déjà connaissance
  • Problèmes sans impact de sécurité clairement identifié (comme le détournement de clics sur un site web statique), en-têtes de sécurité manquants ou messages d’erreur descriptifs
  • Types de vulnérabilités non pris en compte, notamment :
    • Divulgation d'informations côté serveur telles que les adresses IP, les noms de serveur et la plupart des rapports des appels de procédure
    • Bogues CSRF à faible impact (tels que les déconnexions)
    • Problèmes de déni de service
    • Prises de contrôle des sous-domaines
    • Vulnérabilités liées à la relecture de cookies
    • Redirections d'URL (sauf si elles sont combinées avec une autre vulnérabilité pour produire une vulnérabilité plus grave)
    • Stratégies de mot de passe, d’e-mail et de compte, telles que la vérification de l’identifiant d’e-mail, l’expiration du lien de réinitialisation, la complexité du mot de passe
    • Vulnérabilités liées à une application web qui affectent uniquement les navigateurs et les plug-ins non pris en charge
  • Vulnérabilités basées sur une configuration, une action de l’utilisateur ou un accès physique, par exemple :
    • Vulnérabilités nécessitant des actions approfondies ou improbables de la part de l’utilisateur
    • Vulnérabilités liées au contenu ou aux applications créées par l'utilisateur
    • Configuration incorrecte de la sécurité d'un service par un utilisateur, comme l'activation de l'accès HTTP sur un compte de stockage pour permettre des attaques de l'intercepteur
    • Soumissions qui nécessitent la manipulation de données, l’accès au réseau ou une attaque physique contre les bureaux ou les centres de données Microsoft et/ou l’ingénierie sociale de notre service desk, de nos employés ou de nos sous-traitants
    • Contournement de l’authentification à deux facteurs qui nécessite un accès physique à un périphérique connecté
    • Accès local aux données utilisateur lors de l’utilisation d’un appareil mobile rooté
    • Absence d'en-têtes de sécurité HTTP (tels que X-FRAME-OPTIONS) ou d'indicateurs de sécurité des cookies (tels que « httponly »)
    • Vulnérabilités utilisées pour énumérer ou confirmer l'existence d'utilisateurs ou de locataires
  • Vulnérabilités basées sur des tiers, par exemple :
    • Vulnérabilités liées à des logiciels tiers fournis par Azure, comme les images de la galerie et les applications des éditeurs de logiciels indépendants
    • Vulnérabilités liées à des technologies de plateforme non spécifiques aux services en ligne concernés (vulnérabilités Apache ou IIS, par exemple)
  • Rapports provenant d’outils ou d’analyses automatisés
  • Les sites de formation, de documentation, d’exemples et de forums communautaires en lien avec les produits et services d’identité ne sont pas pris en compte pour les primes, sauf indication contraire dans « Domaines et points de terminaison pris en compte ».
  • Vulnérabilités dans d’autres produits Microsoft :
    • Ces soumissions peuvent être éligibles à une prime via un autre programme de primes. Consultez la liste complète des programmes de primes pour connaître les autres produits et services Microsoft éligibles aux primes.
  • Limitation des vulnérabilités basées sur les normes
    • L’un des critères suivants empêche une vulnérabilité basée sur des normes d’être éligible à la prime :
      • Normes étant encore à l’état de projet, de version candidate ou de projet d’implémentation. Les problèmes associés à des normes étant dans l’état de projet, de version candidate ou de projet d’implémentation doivent être signalés directement à l’organisme de normalisation en question dans le cadre du processus normal de création des normes.
      • Dans des spécifications non explicitement répertoriées.
      • Dans des implémentations non certifiées des produits et services Microsoft.

NOTE IMPORTANTE SUR LA RECHERCHE ET LES DONNÉES CLIENT

La recherche indépendante sur la sécurité est un élément important de la confiance globale dans la sécurité des produits et services. Dans le cadre de cette recherche, la communauté doit également être consciente que ces services sont actifs et fonctionnent dans un environnement de production afin de permettre leur utilisation en continu par les clients. Nous demandons aux chercheurs en sécurité d’effectuer de bonne foi des démarches pour :

  • Éviter les violations de la vie privée, la destruction des données et l’interruption ou la dégradation de notre service pendant la recherche.
    Si vous découvrez des données client lors d’une recherche, arrêtez-vous immédiatement et contactez-nous.
    • Par exemple, vous êtes autorisé et encouragé à créer un petit nombre de comptes de test et/ou de locataires d’essai afin de démontrer et de prouver des accès inter-comptes ou inter-locataires à des données. Il est interdit d’utiliser l’un de ces comptes pour accéder aux données d’un client ou d’un compte légitime.
  • Les tests relatifs aux vulnérabilités ne doivent être effectués que sur les locataires des abonnements/comptes appartenant au chercheur concerné. N’exécutez pas de tests sur d’autres locataires.
  • Dépasser les étapes de reproduction de la « preuve de concept » pour les problèmes d’exécution côté serveur n’est pas acceptable (par exemple, prouver que vous disposez d’un accès administrateur système avec SQLi est acceptable, mais exécuter xp_cmdshell ne l’est pas).

Pour aider davantage les chercheurs en sécurité à comprendre les limites de la recherche au sein de nos services, les méthodes suivantes sont interdites :

  • Tentative de hameçonnage ou autre forme de piratage psychologique sur nos employés. Ce programme s'applique uniquement aux vulnérabilités techniques des services spécifiés de Microsoft Online Services.
  • Tout type de test de déni de service.
  • Tests automatisés de services générant un trafic important.

CONDITIONS GÉNÉRALES

Les programmes de primes aux bogues de Microsoft sont soumis aux conditions légales décrites ici, ainsi qu’à notre stratégie Safe Harbor relative aux primes.

Vous avez des questions ? Les questions fréquentes (FAQ) sur les primes sont disponibles ici. Vous pouvez également nous contacter à l’adresse bounty@microsoft.com.

Merci d'avoir participé au programme de primes aux bogues de Microsoft.

HISTORIQUE DES RÉVISIONS

  • 6 décembre 2018 : ajout de la section Historique des révisions.
  • 23 octobre 2019 : révision du modèle de récompense de façon à inclure l’impact sur la sécurité, la gravité et la qualité du rapport. Révision du langage du brief sur la prime pour l’aligner sur nos autres programmes cloud.
  • 16 janvier 2020 : ajout du lien vers le programme Research Project Grant