Facebook a déjà versé 40.000 dollars pour des bugs

Depuis que Facebook a annoncé son programme ‘Bug Bounty’, l’entreprise a déjà versé 40.000 dollars à des pirates ayant découvert des points faibles sur son site.

Depuis que Facebook a annoncé son programme ‘Bug Bounty’, l’entreprise a déjà versé 40.000 dollars à des pirates ayant découvert des points faibles sur son site.

Début août, Facebook a lancé un programme, ‘Bug Bounty’, par lequel elle invite les pirates… bienveillants du monde entier à rechercher les points faibles de son site. Le premier à faire rapport d’un nouveau problème peut espérer recevoir une récompense de 500 dollars minimum. Depuis le démarrage de ce programme, qui a été diffusé entre autres sur les ‘hackerevents’ américains Black Hat et DefCon, l’entreprise a déjà déboursé 40.000 dollars, dont 7.000 dollars à une seule personne qui a découvert six faiblesses différentes, ainsi que 5.000 dollars “for one really good report.”.

Dans un message, Joe Sullivan, chief security officer chez Facebook, insiste sur le fait “qu’il existe beaucoup d’experts en sécurité talentueux et bien intentionnés dans le monde, qui ne travaillent pas pour Facebook”. Ces dernières années, Facebook avait déjà mis en oeuvre le programme ‘white hat’ visant plusieurs chercheurs, et le programme ‘Bug Bounty’ en est une extension. Entre-temps, des personnes “de plus de 16 pays, de la Turquie à la Pologne” y ont déjà collaboré. Facebook invite cependant les découvreurs d’un problème à donner à l’entreprise “un délai raisonnable pour le résoudre, avant de le rendre public”.

Limites En outre, Facebook limite également le programme au site web même et en exclut donc les nombreuses applications de tiers ou les sites qui sont liés à Facebook. Le nombre d’applications joue ici assurément un rôle, étant donné qu’il est considéré comme trop élevé, alors que la qualité d’une appli est en fin de compte de la responsabilité de son auteur. La requête de ne pas pirater les sites liés est aussi due à la présence de la… fine couche de glace légale sur laquelle les pirates se déplacent vraiment. Dans la plupart des pays, tant aux Etats-Unis (cfr. le Digital Millennium Copyright Act) qu’en Belgique aussi par exemple, l’intrusion, à savoir le piratage d’un site (ou simplement du système de quelqu’un d’autre) est punissable. Les ‘Penetration testers’ – des experts en sécurité qui testent la protection d’un site ou système – doivent donc à cette fin toujours obtenir une autorisation explicite du propriétaire ou du responsable du système. Avec son appel ‘Bug Bounty’, Facebook ne peut dès lors concéder que le droit de s’attaquer à son propre site.

Facebook n’est par ailleurs pas la seule entreprise à indemniser des pirates bienveillants ayant découvert des problèmes. Cela fait des années déjà qu’un débat bat son plein quant à savoir s’il est correct de dénoncer des bugs contre paiement. Plusieurs experts se spécialisent en effet dans le commerce de ce genre de points faibles, qui forme une partie (importante) de leurs revenus. C’est à l’opposé de ce qui se passait à l’époque préhistorique du piratage, quand ce genre d’information était diffusée gratuitement, et ce uniquement pour l’honneur et le respect que cela suscitait chez les autres hackers. En raison du commerce des bugs, l’information n’aboutirait pas toujours aussi vite auprès des personnes qui en ont vraiment besoin ou qui peuvent les utiliser au mieux.

Quoi qu’il en soit, toute personne qui désire offrir ses services au programme ‘Bug Bounty’ de Facebook, trouvera ici les règles du jeu.