Skip to main content

Conditions d’utilisation des programmes Bug Bounty Microsoft .NET Core et ASP.NET Core

DESCRIPTION DU PROGRAMME

Nous sommes heureux d’annoncer un programme Bug Bounty .NET Core et ASP.NET Core en cours qui a été lancé le 1er septembre 2016. Pendant la durée du programme, nous vous invitons à envoyer un e-mail à l’adresse secure@microsoft.com pour soumettre les failles détectées dans les dernières versions Release Candidate ou la version finale de .NET Core et ASP.NET Core exécutée sur Windows, Linux et MacOS. Vous pouvez installer la version finale actuelle et les versions bêta ultérieures à partir de https://dot.net/.

Les candidatures qualifiées peuvent bénéficier d’un montant allant de 500 dollars à 15 000 dollars en fonction de la qualité et de la complexité de la faille telles qu’elles sont déterminées par Microsoft. Pour les candidatures de très haute qualité, nous pouvons payer plus de 15 000 dollars, à notre seule discrétion.

QU’EST-CE QUI CONSTITUE UNE CANDIDATURE ÉLIGIBLE ?

Pour être éligibles au paiement, les candidatures doivent répondre aux critères suivants :

  • Votre rapport doit identifier une faille originale et non signalée précédemment dans la dernière version finale, ou les versions bêta ou Release Candidate prises en charge des dernières versions de Microsoft .NET Core, d’ASP.NET Core et des modèles ASP.NET Core par défaut fournis avec ASP.NET Web Tools Extension pour Visual Studio 2015 ou version ultérieure.
  • Les exemples de failles peuvent inclure les contournements de la protection de falsification de requête intersites, le codage, les échecs de protection des données, les divulgations d’informations à un client, les contournements d’authentification et l’exécution de code à distance.
  • La faille doit être soumise et reproduite sur la dernière version finale, ou les versions bêta ou Release Candidate prises en charge ultérieures à la version finale actuelle.
  • Nous vous demandons d’inclure des instructions complètes et facilement compréhensibles pour faciliter une reproduction rapide de la faille. Comme indiqué dans le tableau des paiements ci-dessous, les instructions de haute qualité vont de pair avec une récompense plus élevée.

Microsoft peut refuser à sa seule discrétion toute candidature qui ne lui semble pas répondre à ces critères.

COMMENT LES MONTANTS DES PAIEMENTS SONT-ILS DÉFINIS ?

  • Les récompenses qui sont comprises entre 500 dollars et 15 000 dollars seront remises à la discrétion de Microsoft en fonction de la qualité et de la complexité de la faille. Il revient exclusivement à Microsoft de déterminer les candidatures qui sont qualifiées.
  • Si nous recevons plusieurs rapports de bogues pour le même problème de différentes parties, la récompense sera accordée à la première candidature selon les critères mentionnés ci-dessus
  • Si un rapport dupliqué fournit de nouvelles informations précédemment inconnues de Microsoft, nous allouerons un différentiel à la candidature en double
  • Le premier rapport externe reçu sur un problème connu en interne recevra un montant maximal de 1 500 dollars.
  • Si vous ne souhaitez pas recevoir de récompense pour la faille que vous avez soumise, Microsoft s’associe à vous pour faire don de cette récompense à une œuvre de charité approuvée.

La plage des paiements pour les candidatures éligibles est définie comme suit :

Type de faillePreuve de conceptExploit opérationnelLivre blanc / Qualité du rapportPlage des paiements (dollars)
Exécution de code à distanceObligatoireObligatoireImportanteJusqu’à 15 000 dollars
ObligatoireNonImportanteJusqu’à 6 000 dollars
ObligatoireNonFaibleJusqu’à 1 500 dollars
Défaut de conception de sécuritéObligatoireObligatoireImportanteJusqu’à 10 000 dollars
ObligatoireFacultatifImportanteJusqu’à 5 000 dollars
ObligatoireNonFaibleJusqu’à 1 500 dollars
Élévation de privilègeObligatoireObligatoireImportanteJusqu’à 10 000 dollars
ObligatoireNonFaibleJusqu’à 5 000 dollars
Déni de service à distanceObligatoireFacultatifImportanteJusqu’à 5 000 dollars
ObligatoireNonFaibleJusqu’à 2 500 dollars
Falsification / Usurpation d’identitéObligatoireFacultatifImportanteJusqu’à 5 000 dollars
ObligatoireNonFaibleJusqu’à 2 500 dollars
Fuites d’informationsObligatoireFacultatifImportanteJusqu’à 2 500 dollars
ObligatoireNonFaibleJusqu’à 750 dollars
Exécution de scripts de site à site ou falsification de requête intersites de modèleObligatoireFacultatifImportanteJusqu’à 2 000 dollars
ObligatoireFacultatifFaibleJusqu’à 500 dollars

*Des montants plus élevés sont possibles, à la seule discrétion de Microsoft, en fonction de la qualité et de la complexité du document soumis

QU’EST-CE QUI CONSTITUE UNE CANDIDATURE INÉLIGIBLE ?

L’objectif du programme Bug Bounty est de découvrir des failles importantes qui ont un impact direct et démontrable sur la sécurité et les données de nos utilisateurs. Alors que nous encourageons toutes les candidatures qui décrivent des failles de sécurité dans ASP.NET, les exemples de failles suivants ne permettront pas de gagner de récompense dans le cadre de ce programme :

  • Failles révélées publiquement qui sont déjà connues de Microsoft et de la communauté de sécurité au sens large
  • Failles dans le contenu généré par l’utilisateur
  • Failles nécessitant des actions de l’utilisateur peu probables ou très nombreuses
  • Failles qui désactivent ou n’utilisent pas les mécanismes de prévention intégrés
  • Bogues de falsification de requête intersites à faible impact
  • Divulgation d’informations côté serveur
  • Failles dans les technologies de plateforme qui ne sont pas propres à .NET Core ni ASP.NET Core (par exemple, IIS, OpenSSL, etc.)

Nous nous réservons le droit de refuser toute candidature qui, à notre seule discrétion, nous semble appartenir à l’une de ces catégories de failles, même si elle peut par ailleurs être éligible à une récompense.

CHRONOLOGIES DU PROGRAMME BUG BOUNTY .NET et ASP.NET

Nom du programmeDate de débutDate de finLien de l’annonce
CoreCLR et ASP. Bug Bounty NET 5 Technical Preview20 octobre 201520 janvier 2016 https://blogs.msdn.microsoft.com/webdev/2015/10/20/net-core-and-asp-net-launches-a-beta-bug-bounty-program/
Bug Bounty .NET Core et ASP.NET Core RC27 juin 20167 septembre 2016 https://blogs.msdn.microsoft.com/webdev/2016/06/07/announcing-a-new-net-and-asp-net-core-bug-bounty/
Bug Bounty Microsoft .NET Core et ASP.NET Core1er septembre 2016En cours https://blogs.msdn.microsoft.com/webdev/2016/09/01/announcing-the-ongoing-bug-bounty-for-net-core-and-asp-net-core/

FORUM AUX QUESTIONS ET CONFIGURATION REQUISE POUR LE PROGRAMME BOUNTY

Vous devez respecter l’ ensemble des conditions d’utilisation répertoriées dans le Forum Aux Questions du programme Bounty de Microsoft. Consultez le Forum Aux Questions du programme Bounty de Microsoft pour obtenir des instructions détaillées sur :

  1. Signalement de bogues à Microsoft
  2. Processus de triage et de paiement de Microsoft
  3. Critères d’éligibilité à la participation
  4. Stratégies de paiement des récompenses
  5. Vos obligations de confidentialité
  6. Déclaration de confidentialité et avis juridique de Microsoft
  7. Autres questions sur les divers programmes Bounty de Microsoft

Merci pour votre participation au programme Bug Bounty de Microsoft !

Blog MSRC

Blog SRD

Conditions d’utilisation des programmes Bug Bounty Microsoft .NET Core et ASP.NET Core