Simon RobbenMicrosoft vient de dévoiler le Zero Day Quest, une initiative élargie de bug bounty visant à renforcer la sécurité de ses technologies cloud et d’intelligence artificielle (IA). Ce programme, qui offre jusqu’à 4 millions de dollars en récompenses potentielles, marque une nouvelle étape dans les efforts de Microsoft pour sécuriser ses produits face aux menaces croissantes.
Un défi mondial ouvert à tous
Le Zero Day Quest est accessible à l’ensemble des chercheurs en cybersécurité et se déroulera sur une période déterminée, du 19 novembre 2024 au 19 janvier 2025. Ce calendrier stratégique offre une fenêtre pour maximiser les contributions des experts tout en encourageant une participation mondiale.
Événement exclusif à Redmond en 2025
En plus des récompenses financières, Microsoft prévoit d’organiser un événement de hacking sur site en 2025, dans son siège mondial à Redmond, Washington. Cet événement permettra aux chercheurs ayant soumis des découvertes acceptées de rencontrer les équipes internes de Microsoft. Ce sera une occasion unique pour les participants de collaborer directement avec les ingénieurs et responsables de la sécurité.
Multiplication des primes et accès privilégié à l’IA
Le programme ne se limite pas à des paiements standards. Dans le cadre de certains scénarios de recherche spécifiques, les primes seront multipliées pour récompenser les contributions particulièrement impactantes. De plus, les participants auront un accès direct aux ingénieurs spécialisés en IA de Microsoft, ainsi qu’à l’équipe rouge dédiée à la sécurité des systèmes d’IA. Cette équipe évalue les technologies d’intelligence artificielle pour détecter des vulnérabilités potentielles avant qu’elles ne soient exploitées.
Transparence et engagement pour l’industrie
Microsoft s’est également engagé à partager les informations sur les vulnérabilités découvertes dans le cadre du programme Common Vulnerabilities and Exposures (CVE). Même lorsque les vulnérabilités ne nécessitent pas d’action de la part des clients, l’objectif est de contribuer à améliorer la cybersécurité de l’ensemble de l’écosystème technologique. Cette démarche souligne la volonté de Microsoft de jouer un rôle de leader en matière de transparence.
Une initiative inscrite dans la stratégie « Secure Future »
Le Zero Day Quest s’inscrit dans une initiative plus vaste baptisée Secure Future, lancée par Microsoft en novembre 2023. Cette stratégie a été conçue pour renforcer la sécurité de ses produits tout en établissant des partenariats solides avec les chercheurs externes. Tom Gallagher, vice-président de l’ingénierie au sein du Microsoft Security Response Center, a affirmé que cette initiative va au-delà de la simple découverte de vulnérabilités. Elle vise à fédérer des collaborations nouvelles et à approfondir celles existantes entre les équipes de sécurité internes et la communauté des chercheurs.
Règles strictes pour une recherche éthique
Le Zero Day Quest impose des règles strictes aux participants, interdisant notamment les attaques par hameçonnage, les tests de déni de service et l’accès à des données non autorisées. Ces restrictions garantissent que la recherche respecte des principes éthiques tout en protégeant l’intégrité des systèmes Microsoft.
Sources de l’information
- BleepingComputer
https://www.bleepingcomputer.com/news/microsoft/microsoft-launches-zero-day-quest-hacking-event-with-4-million-in-rewards/ - The Verge
https://www.theverge.com/2024/11/19/24299999/microsoft-zero-day-quest-hacking-event-ai-cloud-security - Cyberscoop
https://cyberscoop.com/microsoft-launches-zero-day-quest-competition-to-enhance-cloud-and-ai-security/ - Microsoft Security Response Center
https://msrc.microsoft.com/blog/2024/11/securing-ai-and-cloud-with-the-zero-day-quest/
