Microsoft a annoncé aujourd’hui lors de sa conférence annuelle Ignite à Chicago, Illinois, qu’il étend ses programmes de primes aux bogues avec Zero Day Quest, un nouvel événement de piratage axé sur les produits et plates-formes cloud et IA.
La quête Zero Day commence aujourd’hui avec un défi de recherche où les soumissions de vulnérabilités pour des scénarios spécifiques peuvent gagner des primes multipliées et peuvent se qualifier pour l’événement de piratage sur site 2025 (invitation uniquement) à Redmond, Washington. Ce défi est ouvert à tous et se déroulera du 19 novembre 2024 au 19 janvier 2025.
Pour faire progresser davantage la sécurité de l’IA, à partir d’aujourd’hui, Microsoft annonce qu’il offrira également une double prime pour les vulnérabilités de l’IA signalées par les chercheurs en sécurité, tout en leur offrant un accès direct aux ingénieurs Microsoft AI et à l’équipe AI Red de l’entreprise.
« Ce nouvel événement de piratage sera le plus important du genre, avec 4 millions de dollars supplémentaires en bourses potentielles pour la recherche dans des domaines à fort impact, en particulier le cloud et l’IA », a déclaré Tom Gallagher, vice-président de l’ingénierie au Microsoft Security Response Center (MSRC).
« Zero Day Quest offrira de nouvelles opportunités à la communauté de la sécurité de travailler main dans la main avec les ingénieurs et les chercheurs en sécurité de Microsoft, réunissant les meilleurs esprits de la sécurité pour partager, apprendre et créer une communauté alors que nous travaillons pour assurer la sécurité de tous. »
Cela fait partie de la Secure Future Initiative (SFI) de Microsoft, un effort d’ingénierie de la cybersécurité lancé en novembre 2023 pour renforcer la protection de la cybersécurité dans ses produits juste à temps pour devancer un rapport cinglant publié par le Cyber Safety Review Board du Département américain de la Sécurité intérieure affirmant que « la culture de sécurité de l’entreprise était inadéquate et nécessite une refonte. »
Comme l’a rapporté Breachtrace, Microsoft s’est retrouvé au centre des attaques des pirates informatiques chinois en mai, lorsque les attaquants ont volé plus de 60 000 courriels provenant de comptes du Département d’État américain après avoir violé la plate-forme de messagerie Exchange basée sur le cloud de l’entreprise.
Des failles de sécurité affectant plusieurs autres produits et plates-formes Microsoft ont également été utilisées dans des attaques généralisées. Par exemple, ces dernières années, de nombreux acteurs de la menace (y compris des gangs de ransomwares) ont abusé des vulnérabilités ProxyShell, ProxyNotShell et ProxyLogon pour cibler des dizaines de milliers de serveurs Exchange exposés en ligne.
« Dans le cadre de notre initiative Secure Future (SFI), nous partagerons de manière transparente les vulnérabilités critiques via le programme Common Vulnerabilities and Exposures (CVE), même si elles ne nécessitent aucune action de la part du client », a ajouté Gallagher.
« Les enseignements tirés de la quête Zero Day seront partagés entre Microsoft pour aider à améliorer la sécurité du cloud et de l’IA – par défaut, par conception et dans les opérations. »
Aujourd’hui, Microsoft a également partagé plus d’informations sur la nouvelle fonctionnalité de sécurité de protection de l’administrateur, disponible en aperçu sur les appareils Windows 11 et conçue pour bloquer l’accès aux ressources système critiques à l’aide d’invites d’authentification Windows Hello supplémentaires.
« Depuis le lancement de SFI, nous avons concentré l’équivalent de 34 000 ingénieurs à temps plein sur les défis de sécurité les plus prioritaires », a ajouté aujourd’hui David Weston, vice-président de la société pour la sécurité des entreprises et des systèmes d’exploitation.