La firme de Redmond ouvre un nouveau programme de chasse aux bugs. Et pour inciter les chercheurs en sécurité à chasser les bugs dans ses services utilisant l’IA de Bing, elle promet des récompenses pouvant atteindre jusqu’à 15 000 dollars.
Microsoft vient officiellement de lancer son Microsoft AI Bug Bounty Program. Et c’est à l’occasion de la conférence BlueHat qui regroupe des professionnels de la cybersécurité que la firme de Redmond a levé le voile sur les détails de sa nouvelle chasse aux bugs. Elle a notamment indiqué que les chercheurs en sécurité qui se plongeraient dedans pourraient empocher des primes pouvant être récompensées de 2000 à 15 000 dollars pour la découverte des bugs les plus importants.
Une chasse aux bugs dans tous les produits intégrant l’IA de Bing
Pour ce nouveau programme Bug Bounty, Microsoft a les choses en grand. L’entreprise américaine précise ainsi que tous les produits intégrant l’IA de Bing sont concernés. Cela inclut toutes les expériences Bing alimentées par l’IA sur Bing.com sur le Web (y compris Bing Chat, Bing Chat for Enterprise et Bing Image Creator), mais aussi l’intégration de Bing dans Microsoft Edge. Cette chasse aux bugs pourra également être menée dans les applications Microsoft Start et Skype sur Android et iOS, toutes deux intégrant l’IA de Bing.
Microsoft explique par ailleurs en détail les conditions et les critères à remplir pour que les soumissions de bugs soient éligibles aux primes. Il faut d’abord que vous identifiiez une vulnérabilité dans l’IA de Bing n’ayant pas déjà été signalée à Microsoft, ou qui ne soit pas déjà connue par la firme. Ensuite, la vulnérabilité doit être d’une gravité critique ou importante. Microsoft a d’ailleurs mis en ligne sa classification pour vous aider à identifier la sévérité des failles trouvées. Surtout, il faut que la brèche découverte soit reproductible sur la dernière version stable (et donc entièrement corrigée) du service concerné.
Par ailleurs, les chercheurs souhaitant soumettre un bug à Microsoft devront impérativement indiquer à la firme, par écrit ou à l’aide d’une vidéo, toutes les étapes permettant aux ingénieurs de reproduire le phénomène, le comprendre et le résoudre.
Entre juillet 2022 et juin 2023, Microsoft a mis en place pas moins de 17 programmes de chasse aux bugs pour ses différents services et produits. Au total, les 345 chercheurs en sécurité qui ont rejoint ces programmes ont découvert quelque 1180 vulnérabilités éligibles. En l’espace d’un an, Microsoft a distribué 13,8 millions de dollars de récompenses aux chercheurs en sécurité ayant découvert des brèches dans ses produits, la prime la plus élevée ayant rapporté à son découvreur la coquette somme de 200 000 dollars.
Source :
Microsoft