La gestion de l'Internet des objets dans le Cloud Azure passe par l'utilisation d'Azure Sphere et de son système basé sur Linux. Microsoft offrira une prime pouvant aller jusqu'à 100 000 dollars à tout ceux qui vont découvrir une faille de sécurité au sein de ce système.

Par l'intermédiaire du programme Azure Sphere Research Challenge, Microsoft met au défi les chercheurs en sécurité afin de révéler des vulnérabilités au sein du noyau et du système Linux, tout deux personnalisés. En complément, Azure Sphere se compose d'un microcontrôleur et d'un service de sécurité pour protéger les communications avec les objets connectés, notamment contre les attaques DoS.

La durée de ce défi est de 3 mois et Microsoft va sélectionner les personnes ayant accès à ce programme : les chercheurs intéressés peuvent envoyer leur candidature dès à présent, et ce jusqu'au 15 mai. Les chercheurs recevront différents éléments : kit de développement Azure Sphere, l'accès aux services Microsoft, la documentation sur les produits Azure Sphere et ils pourront échanger en direct avec Microsoft.

Comme je le disais, la récompense la plus élevée est de 100 00 dollars, dans le cas où le hacker parvient à exécuter du code dans Azure Pluton ou Azure Secure World. L'Azure Secure World c'est l'équivalent d'un mode super-utilisateur dans l'environnement personnalisé de Microsoft, et cet accès est normalement inaccessible.

Pour les vulnérabilités découvertes en dehors du champ d'application du défi "Azure Sphere", seront récompensées par l'intermédiaire du programme de Bug Bounty habituel : Azure Bounty.

Quoi qu'il en soit, Microsoft a déjà bien travaillé sur la sécurité d'Azure Sphere, notamment en collaboration avec des entreprises expertes sur la sécurité de l'Internet des Objets. Citons notamment ESET, Bitdefender, HackerOne, Palo Alto Networks ou encore Zscaler.

Ce défi se déroulera du 1er juin 2020 au 31 août 2020. Pour soumettre une candidature, c'est par ici : Azure Sphere