Microsoft a annoncé aujourd’hui lors de sa conférence annuelle Ignite à Chicago, dans l’Illinois, qu’il étendait ses programmes de bug bounty avec Zero Day Quest, un nouvel événement de piratage axé sur les produits et plates-formes cloud et IA.
L’événement commence aujourd’hui avec un défi de recherche où les soumissions de vulnérabilités pour des scénarios spécifiques peuvent rapporter des primes multipliées et peuvent se qualifier pour l’événement de piratage sur site de 2025 à Redmond, Washington.
Pour faire progresser davantage la sécurité de l’IA, à partir d’aujourd’hui, Microsoft annonce qu’il offrira également des récompenses doubles pour les vulnérabilités de l’IA signalées par les chercheurs en sécurité, tout en leur fournissant un accès direct aux ingénieurs IA de Microsoft et à l’équipe rouge IA de l’entreprise.
« Ce nouvel événement de piratage sera le plus important du genre, avec 4 millions de dollars supplémentaires en récompenses potentielles pour la recherche dans des domaines à fort impact, en particulier le cloud et l’IA », a déclaré Tom Gallagher, vice-président de l’ingénierie au Microsoft Security Response Center (MSRC). ).
« Zero Day Quest offrira de nouvelles opportunités à la communauté de la sécurité de travailler main dans la main avec les ingénieurs et les chercheurs en sécurité de Microsoft, réunissant les meilleurs esprits du domaine de la sécurité pour partager, apprendre et créer une communauté tout en travaillant pour assurer la sécurité de tous. »
Cela fait partie de la Secure Future Initiative (SFI) de Microsoft, un effort d’ingénierie de cybersécurité lancé en novembre 2023 pour renforcer la protection de la cybersécurité dans l’ensemble de ses produits juste à temps pour devancer un rapport cinglant publié par le Cyber Safety Review Board du département américain de la Patrie. Sécurité adage que « la culture de sécurité de l’entreprise était inadéquate et nécessitait une refonte ».
Comme l’a rapporté BleepingComputer, Microsoft s’est retrouvé la cible d’attaques de pirates informatiques chinois en mai, lorsque les attaquants ont volé plus de 60 000 e-mails sur les comptes du Département d’État américain après avoir violé la plate-forme de messagerie Exchange basée sur le cloud de l’entreprise.
Des failles de sécurité affectant plusieurs autres produits et plates-formes Microsoft ont également été utilisées dans des attaques généralisées. Par exemple, ces dernières années, de nombreux acteurs malveillants (y compris des gangs de ransomwares) ont abusé des vulnérabilités ProxyShell, ProxyNotShell et ProxyLogon pour cibler des dizaines de milliers de serveurs Exchange exposés en ligne.
« Dans le cadre de notre Secure Future Initiative (SFI), nous partagerons de manière transparente les vulnérabilités critiques via le programme Common Vulnerabilities and Exposures (CVE), même si elles ne nécessitent aucune action du client », a ajouté Gallagher.
« Les enseignements tirés de Zero Day Quest seront partagés au sein de Microsoft pour contribuer à améliorer la sécurité du cloud et de l’IA – par défaut, dès la conception et dans les opérations. »
Aujourd’hui, Microsoft a également partagé plus d’informations sur la nouvelle fonctionnalité de sécurité de protection de l’administrateur, disponible en avant-première sur les appareils Windows 11 et conçue pour bloquer l’accès aux ressources système critiques à l’aide d’invites d’authentification Windows Hello supplémentaires.
