Microsoft a annoncé ce week-end qu’il avait étendu son programme de primes aux bogues Microsoft Copilot (AI) et augmenté les paiements pour les vulnérabilités de gravité modérée.
Pour sécuriser davantage ses produits Copilot Consumer contre les attaques, Redmond a ajouté une gamme plus large de produits et services Copilot Consumer à la portée du programme, notamment Copilot pour Telegram, Copilot pour WhatsApp, copilot.microsoft.com, et copilot.ai.
La société offre désormais également des incitations allant jusqu’à 5 000 USD pour signaler des vulnérabilités modérées, ce qui peut également affecter de manière significative la sécurité et la fiabilité de ses produits Copilot.
« Nous introduisons de nouvelles incitations pour les cas de copilote de gravité modérée. Les chercheurs qui identifient et signalent des vulnérabilités de gravité modérée seront désormais éligibles à des primes allant jusqu’à 5 000 dollars », a déclaré Microsoft.
« Cette expansion offre aux chercheurs plus d’opportunités de contribuer à la sécurité de notre écosystème Copilot et nous aide à identifier et à atténuer les vulnérabilités potentielles sur un plus large éventail de plates-formes. »
Le programme de primes Microsoft Copilot de la société récompense également les soumissions qualifiées pour les vulnérabilités trouvées dans les expériences d’IA Copilot (Pro) dans Microsoft Edge (Windows), l’application Microsoft Copilot( iOS et Android), le système d’exploitation Windows et la recherche générative Bing hébergée sur bing.com dans le navigateur.
Les primes vont de 250 USD pour les scripts Intersites de faible gravité (XSS), la Falsification de requêtes Intersites( CSRF), la mauvaise configuration de la sécurité Web, l’Accès d’origine croisée et les bogues de validation d’entrée incorrects jusqu’à 30 000 USD pour les failles critiques permettant la manipulation d’inférence.
Le programme de primes Microsoft 365 a également été étendu le mois dernier pour inclure de nouveaux produits Viva pour les cas critiques et importants, notamment le contrôle d’accès aux fonctionnalités, Glint, Learning et Pulse, avec des récompenses allant jusqu’à 27 000$.
Lors de la conférence annuelle Ignite de l’année dernière à Chicago, Microsoft a également élargi ses programmes de primes aux bogues en lançant la Zero Day Quest, un événement de piratage avec des récompenses de 4 millions de dollars axé sur les produits et plates-formes cloud et IA.
Les efforts visant à renforcer la protection de la cybersécurité dans tous les produits font partie de la Secure Future Initiative( SFI), un effort d’ingénierie de la cybersécurité à l’échelle de l’entreprise lancé en novembre 2023 pour devancer un rapport cinglant publié par le Cyber Safety Review Board du Département américain de la Sécurité intérieure affirmant que « la culture de sécurité de Microsoft était inadéquate et nécessite une refonte. »