Microsoft a lancé le Zero Day Quest, un nouvel événement de piratage axé sur l’IA et la sécurité du cloud, offrant un total de 4 millions de dollars de récompenses aux chercheurs en sécurité. Annoncée lors de la conférence Ignite à Chicago, cette initiative étend les programmes de bug bounty de Microsoft pour améliorer la sécurité de l’IA et favoriser la collaboration entre la communauté de la cybersécurité et les équipes d’ingénierie de Microsoft.
Le défi de piratage Zero Day Quest de Microsoft offre 4 millions de dollars de récompenses
Quête du jour zéro commence par un défi de recherche ouvert à tous les participants où ils peuvent soumettre des vulnérabilités pour des scénarios spécifiques. Ce défi se déroule du 19 novembre 2024 au 19 janvier 2025 et permet aux soumissions réussies de remporter des primes multipliées, les qualifiant potentiellement pour un événement de piratage sur site sur invitation uniquement l’année prochaine à Redmond, Washington. De plus, Microsoft encourage le signalement des vulnérabilités de l’IA en offrant des récompenses doubles et en facilitant l’accès direct à ses ingénieurs en IA et à son équipe rouge pour les chercheurs participants.
Tom Gallagher, vice-président de l’ingénierie au Microsoft Security Response Center (MSRC), a souligné l’importance de l’événement, déclarant : « Ce nouvel événement de piratage sera le plus important du genre », soulignant qu’il est conçu pour unir les plus grands esprits de la sécurité pour partager des connaissances et améliorer la sécurité globale dans les secteurs du cloud et de l’IA. Cette initiative s’aligne sur la Secure Future Initiative (SFI) de Microsoft, un engagement d’ingénierie en matière de cybersécurité lancé en novembre 2023, visant à améliorer les mesures de sécurité dans l’ensemble de ses produits dans un contexte de surveillance croissante de sa culture de sécurité.
L’expansion des initiatives de sécurité de Microsoft intervient à la lumière de divers défis en matière de cybersécurité, notamment de récents incidents au cours desquels l’entreprise a été victime d’attaques. Notamment, en mai 2023, des pirates chinois ont piraté la plateforme de messagerie Exchange basée sur le cloud de Microsoft, entraînant le vol de plus de 60 000 e-mails sur les comptes du Département d’État américain. Cet incident, ainsi que d’autres attaques généralisées exploitant des vulnérabilités telles que ProxyShell, ProxyNotShell et ProxyLogon, ont incité l’entreprise à réévaluer et à améliorer son infrastructure de sécurité.
Dans le cadre de la Secure Future Initiative (SFI), Microsoft vise à partager des informations vitales sur les vulnérabilités critiques via le programme Common Vulnerabilities and Exposures (CVE), même si aucune action du client n’est requise. L’initiative aurait impliqué l’équivalent de 34 000 ingénieurs à temps plein se concentrant sur des défis de sécurité hautement prioritaires, soulignant l’engagement de l’entreprise en faveur d’une approche collaborative en matière de cybersécurité.
Microsoft exhorte les utilisateurs à mettre à jour Windows après les vulnérabilités du jour zéro
Un soutien accru aux chercheurs
Offrir un soutien et des ressources améliorés aux chercheurs en sécurité est un thème central de Zero Day Quest. Le programme encourage la communauté de la sécurité à s’engager activement avec les ingénieurs Microsoft tout en travaillant en collaboration pour identifier et atténuer les vulnérabilités de l’IA et de l’infrastructure cloud. Le doublement des primes pour les vulnérabilités liées à l’IA représente une reconnaissance de l’importance croissante de la sécurisation des technologies d’IA, où les risques peuvent avoir des implications plus larges.
David Weston, vice-président de Microsoft pour la sécurité des entreprises et des systèmes d’exploitation, réitéré l’orientation stratégique de l’entreprise en déclarant que les leçons tirées de Zero Day Quest contribueront à améliorer l’IA et la sécurité du cloud, en garantissant que ces développements donnent la priorité à la sécurité et à la fiabilité.
Crédit image en vedette : Salah Darwich/Unsplash
