Linux : Microsoft offre jusqu'à 100 000 $ à qui peut pirater sa version personnalisée du système d'exploitation

Dédiée à la sécurisation de ses solutions d'entreprise pour l'IoT

Linux : Microsoft offre jusqu’à 100 000 $ à qui peut pirater sa version personnalisée du système d’exploitation
Dédiée à la sécurisation de ses solutions d'entreprise pour l’IoT

Microsoft est à la recherche de failles d’exécution à distance dans sa version personnalisée du système d’exploitation Linux. La firme de Redmond lance donc un défi sur 3 mois (du 1er juin au 31 août de l’année en cours) au cours duquel les hackers pourront s’attaquer à ce dernier. L’entreprise se charge d’envoyer des invitations aux chercheurs en sécurité dont les candidatures sont attendues avant le 15 mai 2020.

Microsoft a passé l’annonce de la disponibilité future de Windows 10 avec un noyau Linux complet, open source et sous licence GPL à mi-parcours de l’année précédente. Ce dernier dont Microsoft a finalement publié le code source quelques semaines plus tard ouvre la porte à une panoplie d’opérations comme l’exécution de fichiers binaires ELF64 Linux sous Windows. Il est au centre de la nouvelle architecture du sous-système Windows pour Linux et modifie la façon dont les binaires Linux interagissent avec Windows et le matériel d’un ordinateur, ce, tout en offrant la même expérience utilisateur que la première version du sous-système Windows pour Linux. « C'est la première fois que le noyau Linux sera inclus en tant que composant dans Windows », commente Microsoft à propos de ce dernier.


Seulement, Microsoft fait allusion à un autre noyau dans le cadre de son nouveau bug bounty. C’est celui qui est au centre d’Azure Sphere, sa solution pour sécuriser les infrastructures de l’Internet des Objets (IdO). L’entreprise a annoncé la disponibilité d’une préversion de ce système d’exploitation durant l’édition 2018 de la conférence RSA. Les essais de pénétration du système à mener par les chercheurs en sécurité lancés dans le défi porteront sur la recherche de failles d’exécution de code à distance en relation avec le moniteur de sécurité. La firme de Redmond offre jusqu’à 100 000 dollars pour la découverte de telles vulnérabilités.



Elle mettra également à la disposition des hackers retenus un certain nombre d’outils :

• kit de développement Azure Sphere ;
• accès aux produits et services Microsoft pour les besoins de la recherche ;
• documentation Azure Sphere ;
• canaux directs de communication avec les équipes Microsoft.

Le bug bounty est lancé en partenariat avec un certain nombre d’acteurs de la filière cybersécurité : Avira, Baidu International Technology, Bitdefender, Bugcrowd, Cisco Systems Inc (Talos), ESET, FireEye, F-Secure Corporation, HackerOne, K7 Computing, McAfee, Palo Alto Networks et Zscaler. Les tiers retenus pour le défi devraient donc sortir pour le plus grand nombre de ce cercle.

Suite à la publication du code source du noyau Linux utilisé au sein de la version 2 du sous-système Windows pour Linux, Microsoft a annoncé sa disponibilité dans Windows 10 version 2004 en principe prévue pour le mois d’avril dernier. Avec Azure Sphere, le géant de la technologie devrait emprunter le chemin inverse : publier le code source du noyau Linux après l’annonce de la disponibilité de l’OS.

Source : Microsoft

Et vous ?

Que pensez-vous de cette initiative ?
Avez-vous hâte que Microsoft publie le code source du noyau Linux utilisé dans Azure Sphere ?

Voir aussi :

Microsoft annonce la disponibilité générale d'Azure Container Instances, son service d'informatique sans serveur
Sixième édition du Global Azure BootCamp le 21 avril 2018, une occasion pour découvrir les nouveautés d'Azure pour l'intelligence artificielle
Le noyau Linux fait le ménage dans sa base de code et devient plus léger, faut-il donc passer à la version 5.0 ? Linus Torvalds aborde le sujet
Microsoft ajoute le service Managed Instance sur SQL Server dans Azure, pour faciliter la migration des charges de travail vers le cloud
Microsoft étoffe son offre Azure Cloud à destination des développeurs Java