Pour motiver les experts en sécurité et autres hackers chevronnés, Microsoft lance un programme de récompenses pour la découverte de failles dans une grande partie de ses service en ligne.

Des mauvaises langues diraient : bien obligé maintenant que la division Trustworthy Computing Group a été fermée :-)  

Plus sérieusement, la sécurité étant un problème difficile, toutes les expertises sont les bienvenus et c'est l'esprit de ce programme. Les services concernés sont :

• portal.office.com
• *.outlook.com (Office 365 for business email services applications, excluding any consumer “outlook.com” services)
• outlook.office365.com
• login.microsoftonline.com
• *.sharepoint.com
• *.lync.com
• *.officeapps.live.com
• www.yammer.com
• api.yammer.com
• adminwebservice.microsoftonline.com
• provisioningapi.microsoftonline.com
• graph.windows.net

Les failles découvertes peuvent être du Cross Site Scripting, des injections, des problèmes d'authentification, des élévations de privilèges, etc. La liste complète est donnée dans l'annonce de Microsoft.

Les failles doivent être de "vraies" failles. c'est-à-dire que les petits malins qui lanceraient une attaque DDoS ou qui rejoueraient un problème à parti d'un cookie par exemple, n'ont aucune chance d'être récompensés :-) Là aussi Microsoft liste ce qui n'est pas à ses yeux une faille.

Le montant des primes pour les failles découvertes sera estimé par Microsoft, en fonction de l'impact de la faille. La complexité de la vulnérabilité sera également prise en considération. Quoi qu'il en soit, tout découvreur d'une faille valide se verra récompensé par une prime d'un montant minimum de 500 dollars.

Source : technet.microsoft.com