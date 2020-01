Microsoft a annoncé le lancement d’un programme officiel de primes de bogues pour Xbox dans le but d’améliorer le réseau et les services de la plate-forme de jeux.

Le géant du logiciel a déclaré qu’il paierait de 500 $ à 20 000 $ pour les vulnérabilités découvertes dans le service en ligne Xbox Live de la plate-forme.

Alors que les chercheurs en sécurité ont généralement le plus à gagner des programmes de primes aux bogues, Microsoft a déclaré que n’importe qui, quelle que soit sa position, peut soumettre des vulnérabilités à son nouveau programme.

Dans un article de blog annonçant le programme Xbox Bounty, gestionnaire de programme au Microsoft Security Response Center (MSRC), Chloé Brown a expliqué que pour être éligible, les soumissions nécessiteront une preuve de concept (POC) facilement compréhensible, en disant:

«Le programme Xbox bounty invite les joueurs, les chercheurs en sécurité et les technologues du monde entier à aider à identifier les vulnérabilités de sécurité dans le réseau et les services Xbox, et à les partager avec l’équipe Microsoft Xbox via la divulgation coordonnée des vulnérabilités (CVD). Les soumissions éligibles avec une preuve de concept (POC) claire et concise sont éligibles pour des bourses allant jusqu’à 20 000 $ US. »

Programme Xbox Bounty

Le dernier programme de correction de bogues de Microsoft couvrira l’infrastructure de backend cloud Xbox Live et les vulnérabilités qui permettent l’exécution de code à distance auront les paiements les plus élevés, jusqu’à 20 000 $. L’escalade des failles de privilèges peut rapporter jusqu’à 8 000 $ aux chercheurs en sécurité et les failles qui permettent à un utilisateur de contourner les fonctions de sécurité valent 5 000 $.

Le nouveau programme Xbox Bounty est également assorti de certaines restrictions. Par exemple, Microsoft interdira et disqualifiera automatiquement toute personne qui tente de hameçonner ou d’ingénieur social des utilisateurs et ingénieurs Xbox tout en recherchant des bogues ainsi que toute personne qui se déplace latéralement à l’intérieur du réseau Xbox au-delà de ce qui est nécessaire pour prouver l’impact d’une vulnérabilité. Le téléchargement ou l’accès aux données sensibles des utilisateurs Xbox est également interdit par les règles du programme.

La plate-forme Xbox a été annoncée pour la première fois à l’E3 avant sa sortie en octobre 2012. Un an plus tard, Microsoft a créé son premier programme de correction de bogues, mais il ne s’appliquait qu’à Windows et aux autres logiciels de la société.

Le programme Xbox Bounty est une victoire pour Microsoft ainsi que pour les consommateurs qui bénéficieront d’une expérience en ligne plus fluide et plus sécurisée tout en jouant à des jeux sur les consoles de l’entreprise.

Via ZDNet