Facebook récompense les chasseurs de bogues
D'une prime de 500 $ pour chaque vulnérabilité découverte

Le , par Idelways, Expert éminent sénior
500 dollars américain, est la prime que l'on recevra pour chaque vulnérabilité découverte sur la plateforme de Facebook, le numéro un mondial des réseaux sociaux.

Cette récompense, officiellement destinée à « montrer sa reconnaissance aux chercheurs en sécurité », ne sera versée que si son découvreur respecte à la lettre la « politique de divulgation responsable » qui exige notamment qu'un « temps raisonnable » soit accordé à l'entreprise avant de rendre publics les détails de la faille.

En outre, le découvreur devra faire preuve « de bonne foi » pour éviter toute violation de la vie privée, la destruction des données ou la dégradation du service durant le processus de découverte et de preuve de faisabilité.

Les bogues concernés doivent être tout de même assez sérieux, au point de compromettre l'intégrité ou la confidentialité des données des utilisateurs du réseau social. Les vulnérabilités admises se limiteront aux types Cross-Site Scripting (XSS), Cross-Site Request Forgery (CSRF/XSRF) et les attaques par injection distante de code.

Facebook rejoint donc le club de plus en plus tendance des entreprises qui récompensent les « gentils hackers » pour leur découverte. Google et Mozilla sont les précurseurs du domaine parmi les grands acteurs du Web, bien que leurs primes soient nettement plus alléchantes que celle de Facebook.

Que Facebook lésine sur le montant de ses primes est-il pour autant une preuve que son code est potentiellement criblé de failles ? Cette chasse aux bogues nous le fera bientôt savoir.

Ce programme est en tout cas déjà critiqué, par Sophos notamment, la sécurité de Facebook pouvant être améliorée via trois points n'ayant aucun lien avec la recherche de vulnérabilités :
  • Mise en place du "HTTPS Everywere",
  • Contrôler les développeurs d'application,
  • Ne pas diffuser d'informations privées par défaut.


D'autres détracteurs diront qu'au prix d'un audit de sécurité, ce programme est un bon moyen d'obtenir des audits à bas coûts.

Source : Facebook, Sophos

Et vous ?

Que pensez-vous de cette chasse aux primes et de ce mode de détection des bogues ?

Co-écrit avec CervoiseMD


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de Jonas0122 Jonas0122 - Membre à l'essai http://www.developpez.com
le 02/08/2011 à 0:08
500$.. tellement peu, avec ce genre de failles un hacker peux récupérer facilement de quoi se faire 10x cette somme..
Avatar de Kiiwi Kiiwi - Membre chevronné http://www.developpez.com
le 02/08/2011 à 0:14
Je préfère de loin cette méthode de compensation continue des bogues trouvés, que le système "concours" (comme par exemple le dernier sur les failles de sécurités d'Android), qui incite à garder une faille de sécurité pour soi jusqu'au début du concours.
Avatar de ludojojo ludojojo - Expert confirmé http://www.developpez.com
le 02/08/2011 à 9:10
D'autres détracteurs diront qu'au prix d'un audit de sécurité, ce programme est un bon moyen d'obtenir des audits à bas coûts.

C'est surtout un bon business plan !
500$ Par faille trouvée, c'est plus rapide et plus performant que de payer quelqu'un à le faire! De plus cela permet d'avoir une multitude d'approches différentes, ce qu'une seule personne ne pourrait faire.

De ce point de vu, FB est très fort ! Une fois encore...
Que Facebook lésine sur le montant de ses primes est-il pour autant une preuve que son code est potentiellement criblé de failles ? Cette chasse aux bogues nous le fera bientôt savoir.

C'est fort probable, car si le code était sûr, il pourrait faire monter les enchères pour attirer plus de monde... Il ne s'agit peut être que d'une première phase avec une augmentation plus tard.
Avatar de supertonic supertonic - Membre habitué http://www.developpez.com
le 02/08/2011 à 10:16
Waouwe ! Mais quelle générosité !
Avatar de kdmbella kdmbella - Expert éminent http://www.developpez.com
le 02/08/2011 à 11:20
Que pensez-vous de cette chasse aux primes et de ce mode de détection des bogues ?

ce mode de détection des failles est non seulement un moyen économique d'évaluer la robustesse de facebook mais aussi de découvrir les hackers les plus avisés que facebook poura intégrer dans son équipe de développement.
De plus étant donnée que ces hackers cherches aussi à se faire un peu de blé ils seront plus motivé à bosser dans cette optique.
Avatar de Jean-Loup Richet Jean-Loup Richet - Membre régulier http://www.developpez.com
le 02/08/2011 à 11:39
500$.. tellement peu

Waouwe ! Mais quelle générosité !

Vous abusez un peu là
Certes, le prix d'un audit pro est très loin de la centaine de dollars, et 500$, c'est l'équivalent de 2j de salaire d'un développeur à 45k$. Donc peu de choses au final. Mais l'objectif de Facebook est celui d'un 'crowdsourcer' : compter sur le nombre pour corriger des failles, et faire appel aux chercheurs SSI débutants ou 'loisirs'. Bien sûr que c'est peu comparé au salaire d'un professionnel, mais pour un étudiant en informatique ou un professionnel de la sécurité qui chasse pendant son temps libre, cela permettra de payer un bon resto :-)
Avatar de kdmbella kdmbella - Expert éminent http://www.developpez.com
le 02/08/2011 à 13:18
je pense également que les principalles vulnérabilités de facebook proviennent des applications tiers et pour s'en prémunir il devrait avoir un système de validation des applications vraiment performant.
Avatar de trashyquaker trashyquaker - Membre du Club http://www.developpez.com
le 02/08/2011 à 17:25
Certes, le prix d'un audit pro est très loin de la centaine de dollars, et 500$, c'est l'équivalent de 2j de salaire d'un développeur à 45k$.

Aux US, un développeur se prends 75/80k$ à la sortie de l'école...

Ça permet tout simplement de payer au résultat et non au temps de travail. De plus cela permet de placer x développeurs sur le même bug, et de payer seulement le plus rapide d'entre eux...

Vraiment le bon plan pour un employeur!
Avatar de Mohamed EL Béji Mohamed EL Béji - Futur Membre du Club http://www.developpez.com
le 03/08/2011 à 9:10
Bonjour !
Est si je trouve une faille je l'envoi à qui ... précisément à quelle email
Avatar de Kiiwi Kiiwi - Membre chevronné http://www.developpez.com
le 03/08/2011 à 13:42
Avatar de Mishulyna Mishulyna - Traductrice http://www.developpez.com
le 03/08/2011 à 16:04
Citation Envoyé par Jonas0122  Voir le message
500$.. tellement peu, avec ce genre de failles un hacker peux récupérer facilement de quoi se faire 10x cette somme..

http://www.minutebuzz.com/2011/06/28...-par-facebook/
Prenez les 500$ si l'occasion se présente, bonne chance!
Offres d'emploi IT
Analyste SI-métier (H/F)
Société Générale - Ile de France - Val-de-Marne
Chargé(e) de mission au CERT Société Générale (H/F)
Société Générale - Ile de France - Val-de-Marne
Data scientist inspection générale (H/F)
Société Générale - Ile de France - Hauts-de-Seine

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil