Microsoft annonce la mise en place d'un programme de chasse aux bugs centré sur le Xbox Live, la plateforme de jeu en ligne pour la Xbox. Les récompenses prévues peuvent atteindre 20 000 dollars.

C’est en fin d’année que Microsoft commercialisera sa nouvelle console de salon, la Xbox Series X. Comme pour les précédentes générations, elle sera bien entendu capable de se connecter à Internet pour proposer du jeu en ligne, pour celles et ceux qui veulent se frotter à d’autres adversaires, grâce à son service dédié, le Xbox Live. Mais qui dit accès à distance dit sécurité informatique.

Voilà pourquoi Microsoft s’est décidé à lancer un programme de chasse aux bugs dédié au Xbox Live. Il était temps : le Xbox Live existe depuis 2002 et a été le point de passage de plusieurs millions de joueurs depuis un peu moins de vingt ans — le service a ainsi servi à la toute première Xbox, ainsi qu’à ses héritières : la Xbox 360 et la Xbox One, y compris ses déclinaisons, comme la S et X.

Jusqu’à présent, Microsoft ne comptait que sur ses propres forces pour sécuriser le Xbox Live. Ce programme vise à compléter les investissements consentis par le groupe pour la sécurité du public, en permettant à des intervenants tiers de contribuer et de trouver des angles d’attaque que les équipes internes de la firme de Redmond n’auraient pas vus. Il s’agit d’une approche désormais courante.

Le Xbox Live est proposé depuis 2002, mais ce n’est qu’à partir de 2020 que Microsoft a lancé son programme de chasse aux bugs.

Avec ce programme, dont le détail est précisé dans une page dédiée, un tiers peut se voir récompenser jusqu’à 20 000 dollars par brèche remontée aux équipes de Microsoft. Ce montant est versé dans le cas où la vulnérabilité est critique et permet d’exécuter du code malveillant à distance. La récompense la plus faible du tableau s’élève à 1 000 dollars et concerne l’altération de données.

Parmi les autres évènements qui intéressent Microsoft figurent l’élévation de privilèges (qui permet à un assaillant d’obtenir des droits supplémentaires et, donc, d’accéder à des paramètres et des parties du système attaqué qui sont normalement hors d’atteinte), le contournement des dispositifs de sécurité, la fuite d’informations et l’usurpation d’identité sur le réseau.

Il est à noter que la chasse aux bugs que lance Microsoft ne s’intéresse qu’aux brèches jugées sérieuses ou critiques. Aucun gain n’est à espérer si le signalement est finalement qualifié de bug modéré ou bas. Microsoft exclut aussi les attaques par déni de service distribuées, c’est-à-dire des attaques qui visent à submerger le service par des requêtes, ont pourtant durement touché le Xox Live par le passé,

Sur la page du programme, Microsoft détaille plus avant la typologie des menaces qui l’intéresse et la liste des périls qui ne sont pas éligibles, comme les prises de contrôle de sous-domaines ou bien les redirections forcées d’URL. Pour espérer toucher un gain, la transmission du bug doit suivre un protocole bien précis, avec la fourniture d’une preuve de concept claire et concise.

Partager sur les réseaux sociaux