Microsoft offre jusqu'à 100 000$ à qui pourra pirater Azure Sphere, son Linux modifié

Benoît Théry
Publié le 07 mai 2020 à 10h58
Stand Microsoft Logo

Le programme de bug bounty de Microsoft s'étend régulièrement. En octobre dernier, elle offrait des primes pour la découverte de bugs sur son logiciel électoral. En janvier, l'enseigne a annoncé le même programme de bug bounty pour les services Xbox.

Cette fois, Microsoft offre jusqu'à 100 000 dollars pour la découverte de failles dans Azure Sphere, son système d'exploitation orienté IoT et fonctionnant sous Linux.


Renforcer la sécurité d'Azure Sphere

Microsoft a conçu Azure Sphere pour qu'il repose sur des microcontrôleurs certifiés par l'entreprise et spécialisés dans l'Internet des objets (IoT). Introduit pour la première fois en 2018 et rendu disponible en février dernier, ce système d'exploitation doit permettre d'exécuter des tâches spécifiques dans un environnement sécurisé.

Microsoft veut donc s'assurer que cette sécurité est à toute épreuve. L'enseigne a engagé son programme de récompenses pour cela. Pour prétendre à une récompense, les pirates devront parvenir à pénétrer le dispositif d'Azure Sphère dédié à la sécurité, le sous-système Pluton. Ils pourront également chercher à atteindre Secure World, l'environnement d'exploitation sécurisé du sous-système ARM Cortex-A.


Jusqu'à 100 000 dollars de récompenses

Le programme, qui se tiendra du 1er juin au 31 août, se concentrera donc sur le système d'exploitation lui-même, et non sur le service Cloud qui y est associé. Si les conditions sont remplies, l'enseigne pourra remettre jusqu'à 100 000 dollars de récompenses pour la découverte de failles logicielles. Selon le caractère critique du problème découvert, la récompense pourra être majorée de 10% à 20%. La participation nécessite une inscription sur la page dédiée du Microsoft Security Response Center. Une fois celle-ci terminée, Microsoft fournira le DevKit d'Azure Sphere, de la documentation et un contact direct avec ses équipes.

Sylvie Liu, responsable du programme de sécurité au Microsoft Security Response Center, a déclaré dans un billet de blog : « Microsoft reconnaît que la sécurité n'est pas un événement unique. Les risques doivent être réduits de façon cohérente tout au long de la durée de vie d'un éventail croissant d'appareils et de services. Faire participer la communauté de chercheurs en sécurité à la recherche de vulnérabilités avant que les pirates ne le fassent fait partie de l'approche holistique adoptée par Azure Sphere pour réduire le risque ».

Pour son programme, Microsoft fait également participer d'autres grandes entreprises de la cybersécurité, comme Avira, BitDefender ou McAfee.

Source : The Verge, ThreatPost
Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !
Commentaires (0)
Rejoignez la communauté Clubic
Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.
Commentaires (5)
Bombing_Basta

Question internet des objets, j’ai découvert ce projet full open source/libre récemment :

kyosho62

Suffit de signaler en commentaire de façon courtoise.

Element_n90

Ouais, mais non, mais c’est n’importe quoi comme concours, linux c’est trop de la balle, y peut pas avoir de problème quoi !!

newseven

C’est juste une question de temps par-contre Microsoft a fait du chemin depuis xp pour la sécurité de leur système d’exploitation .
Mais les systèmes d’exploitation deviennent obèse et très gourmand et malheureusement en rajoutant toujours du code par-dessus code les pirates commencent à trouver de très grosse faille.
Linux va devenir une vrai passoire si ils devient très populaire .
J’utilise Linux et des fois c"est du vrai n’importe quoi.

HunterAlex

La vraie question est : Pourquoi est-ce qu’il fonctionne sous Linux ?
Est-ce un aveu sur la fait que leur O.S n’est pas sécurisé ?

Abonnez-vous à notre newsletter !

Recevez un résumé quotidien de l'actu technologique.

Désinscrivez-vous via le lien de désinscription présent sur nos newsletters ou écrivez à : [email protected]. en savoir plus sur le traitement de données personnelles