Skip to main content

Conditions d’utilisation du programme Bug Bounty de la plateforme web Microsoft Edge sur Windows Insider Preview

DESCRIPTION DU PROGRAMME

Nous lançons un programme Bug Bounty sur les failles de sécurité pour Microsoft Edge qui est livré avec Windows 10 Insider Preview (WIP). Le programme commence le 4 août 2016 et se termine le 15 mai 2017. Pendant la durée du programme, des personnes du monde entier ont l’opportunité de présenter des failles détectées dans Microsoft Edge qui est livré avec le tout dernier anneau lent (slow ring) de Windows 10 Insider Preview, ou WIP Slow. Les mises à jour de Windows 10 Insider Preview sont remises à des testeurs de différents anneaux. Pour le programme Bug Bounty, nous vous demandons d’envoyer les bogues sur l’anneau lent (slow ring) de Windows Insider Preview. Pour plus d’informations, consultez https://insider.windows.com/ et https://insider.windows.com/Home/GetStarted.

Les candidatures qualifiées peuvent bénéficier d’un montant allant de 500 dollars à 15 000 dollars, et les récompenses seront remises à la discrétion de Microsoft en fonction de la qualité et de la complexité de la faille. Microsoft peut débourser plus de 15 000 dollars, en fonction de la qualité et de la complexité du document soumis.

QU’EST-CE QUI CONSTITUE UNE CANDIDATURE ÉLIGIBLE ?

Les soumissions de failles fournies à Microsoft doivent répondre aux critères suivants pour être éligibles au paiement :

  • Identification d’une faille originale et non signalée précédemment dans le produit Microsoft Edge actuel sur WIP Slow
  • La faille doit être reproduite sur les builds WIP Slow récentes pour pouvoir bénéficier d’une récompense
    • Si la faille est reproduite dans une build WIP Slow précédente, mais pas dans la build WIP Slow utilisée au moment de la candidature, celle-ci est inéligible
  • Ajout des étapes de reproductibilité concises et facilement compréhensibles. (Cela permet de traiter les candidatures aussi rapidement que possible et de prendre en charge le paiement le plus élevé pour le type de faille signalée.)
  • Ajout du numéro de build WIP Slow sur laquelle la faille est reproduite

Microsoft peut refuser à sa seule discrétion toute candidature qui ne lui semble pas répondre à ces critères.

COMMENT LES MONTANTS DES PAIEMENTS SONT-ILS DÉFINIS ?

  • Si nous recevons plusieurs rapports de bogues pour le même problème de différentes parties, la récompense sera accordée à la première candidature selon les critères mentionnés ci-dessus
  • Si un rapport dupliqué nous fournit de nouvelles informations précédemment inconnues de Microsoft, nous allouerons un différentiel à la candidature en double
  • Le premier rapport externe reçu sur un problème connu en interne recevra un montant maximal de 1 500 dollars

La plage des paiements pour les candidatures éligibles est définie comme suit :

Type de failleAttaque
valide
Preuve de
concept
Qualité du rapportPlage des paiements (dollars) *
Code distant
Exécution dans
Microsoft Edge sur
les versions récentes de WIP
Slow
ObligatoireObligatoireImportanteJusqu’à 15 000 dollars
NonObligatoireImportanteJusqu’à 6 000 dollars
NonObligatoireFaibleJusqu’à 1 500 dollars
Violations des normes
W3C qui
affectent la confidentialité ou
l’intégrité des données de l’utilisateur.

NonObligatoireImportanteJusqu’à 6 000 dollars
 Obligatoire  

Les opérations à effectuer sont les suivantes :

  • Violation de SOP,
    autrement dit exécution de scripts de site à site universels
  • Usurpations d’identités de référents
Non FaibleJusqu’à 1 500 dollars

Ne sont pas inclus :

  • XSS, CSRF : à signaler
    au propriétaire du
    site web
  • Contournement de filtre d’exécution de scripts de site à site
    

*Des montants plus élevés sont possibles, à la seule discrétion de Microsoft, en fonction de la qualité et de la complexité du document soumis.

Définitions des candidatures éligibles :

  • Exploit opérationnel
    • Extension de la preuve de concept qui illustre concrètement que l’exécution de code à distance est possible, par exemple en forçant Microsoft Edge Technical Preview à exécuter un programme choisi par la personne malveillante (tel que calc.exe).
  • L’exploit doit contourner toutes les mesures de prévention appropriées qui sont activées par l’anneau lent (slow ring) de Windows 10 Insider Preview
  • Preuve de concept
    • Fichiers et étapes nécessaires pour reproduire de façon fiable la faille.
  • Exécution de code à distance
    • Faille dans Microsoft Edge sur WIP Slow où un utilisateur malveillant a accès à l’appareil informatique d’une autre personne et y apporte des modifications, peu importe l’emplacement géographique de l’appareil.

QU’EST-CE QUI CONSTITUE UNE CANDIDATURE INÉLIGIBLE ?

L’objectif du programme Bug Bounty est de découvrir des failles importantes qui ont un impact direct et démontrable sur la sécurité et les données de nos utilisateurs. Alors que nous encourageons toutes les candidatures qui décrivent des failles de sécurité dans nos navigateurs, les exemples de failles suivants ne permettront pas de gagner de récompense dans le cadre de ce programme :

  • Failles dans tout composant antérieur à la build WIP Slow actuelle
  • Failles dans toutes les versions d’Internet Explorer
  • Failles dans le contenu généré par l’utilisateur
  • Failles nécessitant des actions de l’utilisateur peu probables ou très nombreuses
  • Failles quand MemGC (Memory Garbage Collector) est désactivé
  • Failles détectées en désactivant les fonctionnalités de sécurité de navigateur existantes
  • Failles dans les fonctionnalités expérimentales, telles que celles figurant dans about:flags

Nous nous réservons le droit de refuser toute candidature qui, à notre seule discrétion, nous semble appartenir à l’une de ces catégories de failles, même si elle peut par ailleurs être éligible à une récompense.

COMMENT POSER MA CANDIDATURE ?

Envoyez votre candidature complète à Microsoft à l’adresse secure@microsoft.com à l’aide des règles d’envoi des bogues situées ici. Nous vous demandons de suivre le modèle Coordinated Vulnerability Disclosure lors du signalement de toutes les failles. Nous ne sommes pas responsables des candidatures qui ne nous parviennent pas pour une raison quelconque. Nous ferons tout ce qui est raisonnablement possible pour comprendre les candidatures indéchiffrables ou incomplètes.

Si vous nous envoyez une candidature éligible mais que vous ne respectez pas le modèle de divulgation coordonnée de failles, par exemple en publiant la faille avant ou au moment de nous l’envoyer, Microsoft peut juger votre candidature comme inéligible dans le cadre de ce programme. Nous pouvons également vous interdire de recevoir toute compensation dans le cadre des futurs programmes Bounty de Microsoft.

À QUELLES OBLIGATIONS DE CONFIDENTIALITÉ SUIS-JE TENU EN POSANT MA CANDIDATURE ?

Si vous nous envoyez une candidature à ce programme, vous acceptez de ne jamais divulguer le code d’exploit opérationnel (dont les fichiers binaires de ce code) de la faille applicable à aucune autre entité, sauf si Microsoft met ce code à la disposition générale du public ou si la loi vous y oblige. Cela ne vous empêche pas de parler de la faille ni de montrer les effets de l’exploit dans le code. Avant de la présenter sur un forum public ou d’en parler aux médias, contactez secure@microsoft.com

J’AI ENVOYÉ MA CANDIDATURE. QUE FAIRE MAINTENANT ?

  • Vous recevrez un e-mail indiquant que nous avons reçu votre candidature.
  • Nos ingénieurs vont examiner la candidature et valider son éligibilité. La durée de l’examen dépend de la complexité et de l’exhaustivité de votre candidature, ainsi que du nombre de candidatures reçues.
  • Une fois votre candidature validée, vous serez contacté pour fournir les documents nécessaires pour traiter votre paiement.
  • Vous allez effectuer les tâches administratives associées à la documentation fiscale. Une fois que nous avons reçu ces documents et confirmé que vous êtes éligible à recevoir un paiement au titre de ce programme, nous allons juger votre candidature comme qualifiée et traiter votre récompense.

PAIEMENTS DU PROGRAMME BOUNTY :

Les récompenses seront remises à la discrétion de Microsoft en fonction de la qualité et de la complexité de la faille. Il revient exclusivement à Microsoft de déterminer les candidatures qui sont qualifiées. Il revient exclusivement à Microsoft de déterminer les candidatures qui sont qualifiées. La récompense minimale remise pour une candidature qualifiée est comprise entre 500 dollars et 15 000 dollars (ou plus, à la discrétion de Microsoft). Il n’y a pas de restrictions sur le nombre de candidatures qualifiées qu’un candidat individuel peut poser et pour lesquelles il peut être payé.

Si vous ne souhaitez pas recevoir de récompense pour la faille que vous avez soumise, Microsoft s’associe à vous pour faire don de cette récompense à une œuvre de charité approuvée.

En outre, toutes les personnes qui ont remporté des récompenses verront leur nom affiché dans notre page Liste honorifique Bounty en guise de reconnaissance.

QUI PEUT PARTICIPER ?

Vous êtes autorisé à participer à ce programme si :

  • Vous êtes âgé d’au moins 14 ans. Si vous êtes âgé d’au moins 14 ans, mais considéré comme un mineur dans votre lieu de résidence, vous devez obtenir l’autorisation de votre parent ou tuteur légal avant de participer à ce programme.
  • Vous êtes une personne qui participez pour votre propre compte ou travaillez pour une organisation qui vous permet de participer. Vous êtes chargé de passer en revue les règles de votre employeur pour participer à ce programme.
  • Vous n’êtes soumis à aucun des critères d’inéligibilité répertoriés ci-dessous sous « QUI N’EST PAS AUTORISÉ À PARTICIPER ? »

QUI N’EST PAS AUTORISÉ À PARTICIPER ?

  • Vous êtes résident de l’un des pays placés sous sanctions des États-Unis, comme Cuba, l’Iran, la Corée du Nord, le Soudan, la Syrie et des régions de Crimée.
  • Vous êtes actuellement un employé de Microsoft Corporation ou d’une filiale Microsoft, un membre de la famille (parent, frère, conjoint ou enfant) ou du foyer d’un tel employé.
  • Dans les six mois précédant votre candidature, vous étiez employé de Microsoft Corporation ou d’une filiale Microsoft.
  • Dans les six mois précédant votre candidature, vous avez travaillé pour Microsoft ou une filiale Microsoft comme personnel externe nécessitant un accès au réseau d’entreprise Microsoft, par exemple un travailleur intérimaire d’agence, employé fournisseur, client pour affaires ou prestataire.
  • Vous travaillez actuellement pour Microsoft ou une filiale Microsoft comme personnel externe nécessitant un accès au réseau d’entreprise Microsoft, par exemple un travailleur intérimaire d’agence, employé fournisseur, client pour affaires ou prestataire.
  • Vous êtes impliqué dans une partie de l’administration et/ou l’exécution de ce programme.

Les décisions prises par Microsoft sont définitives et exécutoires. Microsoft peut résilier ce programme à tout moment, pour une raison quelconque. Prenez soin de lire toutes ces conditions d’utilisation avant de nous envoyer toute candidature.Si vous nous envoyez une candidature à ce programme, vous acceptez ces conditions d’utilisation. Si vous ne voulez pas accepter ces conditions d’utilisation, ne nous envoyez pas de candidature et ne participez pas à ce programme d’aucune autre manière.

FORUM AUX QUESTIONS ET CONFIGURATION REQUISE POUR LE PROGRAMME BOUNTY

Vous devez respecter l’ ensemble des conditions d’utilisation répertoriées dans le Forum Aux Questions du programme Bounty de Microsoft. Consultez le Forum Aux Questions du programme Bounty de Microsoft pour obtenir des instructions détaillées sur :

  1. Signalement de bogues à Microsoft
  2. Processus de triage et de paiement de Microsoft
  3. Critères d’éligibilité à la participation
  4. Stratégies de paiement des récompenses
  5. Vos obligations de confidentialité
  6. Déclaration de confidentialité et avis juridique de Microsoft
  7. Autres questions sur les divers programmes Bounty de Microsoft
  8. Divulgation coordonnée de failles

DÉCLARATION DE CONFIDENTIALITÉ

Consultez la déclaration de confidentialité concernant ce programme.

AVIS JURIDIQUE :

Pour obtenir d’autres détails sur les informations légales Microsoft, accédez au Forum Aux Questions, puis faites défiler l’écran jusqu’à « Avis juridique »

Merci pour votre participation au programme Bug Bounty de Microsoft !

Blog MSRC

Blog SRD