Facebook rajoute Oculus à son Bug Bounty Program
Trouvez des failles dans le site web, le SDK ou le casque et obtenez une récompense

Le , par Stéphane le calme, Chroniqueur Actualités
En mars 2014, Facebook a fait irruption dans le monde de la réalité virtuelle immersive avec le rachat d’Oculus VR pour un montant de 2 milliards de dollars. D’après nos confrères chez The Verge, le numéro un des réseaux sociaux a décidé d'ajouter Oculus à son programme de chasse aux bugs ; ainsi, conformément au règlement, quiconque lui rapportera des failles dans la sécurité de sa nouvelle acquisition recevra au minimum 500 dollars en fonction de son degré de sévérité et sa créativité. Pour rappel, Facebook n’a mis aucun plafond à la récompense et a fourni des exemples de problèmes réels ainsi que des récompenses qui ont été versées aux chercheurs. L’année dernière, l’entreprise a déboursé 1,5 millions de dollars dans le cadre de son programme.

Near Poole, un ingénieur sécurité Facebook, a expliqué qu’à l’heure actuelle la plupart des bugs sont dans le système de messagerie des développeurs Oculus et des parties du site, ce qui ne les rend pas très différents des bugs trouvés sur le réseau social. Cependant, puisqu’Oculus est le premier produit physique de l’entreprise, l’équipe de sécurité pourrait rencontrer de nouveaux types de bug.

« La majorité des difficultés liées à Oculus ne proviennent pas nécessairement du matériel pour le moment », a expliqué Poole. « Potentiellement dans l'avenir, si les gens allaient explorer et découvrir des failles dans le SDK ou le matériel, il est évident que cela aura un intérêt pour nous » a-t-il ajouté.

De nombreuses sociétés technologiques ont recours à ce procédé pour vérifier leurs codes et rémunérer au passage des particuliers, voire des entreprises. Des évènements sont organisés où des éditeurs proposent à des professionnels de briser les défenses de leurs logiciels. Le programme de Facebook a été mis sur pied depuis juillet 2011.

Source : The Verge

Et vous ?

Qu'en pensez-vous ?


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de Shuty Shuty - Membre éprouvé http://www.developpez.com
le 21/08/2014 à 14:07
Je pense que c'est un bon moyen de convertir les hacker black hat en white hat...

Sérieusement, je pense que c'est une bonne chose et que beaucoup devraient prendre exemple.

Ormis facebook, google, et oracle vous connaissez d'autre sociétés qui font ce type de campagnes ?
Avatar de benjani13 benjani13 - Membre expérimenté http://www.developpez.com
le 21/08/2014 à 14:43
Citation Envoyé par Shuty  Voir le message
Je pense que c'est un bon moyen de convertir les hacker black hat en white hat...

Sérieusement, je pense que c'est une bonne chose et que beaucoup devraient prendre exemple.

Ormis facebook, google, et oracle vous connaissez d'autre sociétés qui font ce type de campagnes ?

Qwant (le moteur de recherche français, cocorico) l'a fait lors de la dernière nuit du hack

Mais c'est sur que ça reste limité à quelques entreprises bien geek.
Avatar de D.Evan D.Evan - Membre régulier http://www.developpez.com
le 21/08/2014 à 14:45
@Shuty

Je suis entièrement d'accord avec toi. En plus de l'intéret que ça représente pour les hackers (au sens générique du terme), je pense sérieusement que les produits ayant subit se type de programme ne peuvent s'en retrouvé que plus sécurisée. De plus, même si à l'échelle individuel, pour un particulier notamment, la récompense peut-être intéréssante (je pense surtout à certain pays "en voie de développement" (ce terme ne me plait guère), où, 500, 1000 ou 2000 $US peuvent représenter un gain non négligeable pour les développeurs !) d'un point de vue financier, je pense que Facebook & Cie, y gagnent beaucoup. Malgrès l'importance de la somme, il est vrai que (désolé si je choque), 1.5millions $US ne représente presque "rien" à leur échelle.

Bref, c'est un programme réellement gagnant-gagnant-gagnant (la société, les hackers, les utilisateurs), chose relativement rare et qui mérite d'être souligné. J'espère que d'autres sociétés, pourrait s'inspirer de ces programmes.
Avatar de Saverok Saverok - Expert éminent http://www.developpez.com
le 21/08/2014 à 15:30
@D.Evan
Carrément d'accord (tout lien avec une émission de radio est fortuite )

C'est une sacré preuve d'ouverture
Par contre, les développeurs indépendants sous souvent mis hors course car en concurrence directe avec de plus en plus d'entreprises spécialisées dans sécurité qui se servent de ces événements pour se faire de la pub (et aussi repérer des failles qu'ils ne déclareront pas au cours de l'événement mais là, c'est le jeu de l’espionnage)
Nous avons 2 sociétés françaises Qosmos et Amesys (qui ont notamment fournis les logiciels de surveillance du net en Syrie) qui participent régulièrement à ces événements (par contre, je ne sais pas trop si on doit en être fier )
Avatar de benjani13 benjani13 - Membre expérimenté http://www.developpez.com
le 21/08/2014 à 15:45
Citation Envoyé par Saverok  Voir le message
@D.Evan
Carrément d'accord (tout lien avec une émission de radio est fortuite )

Un certain Mr Brunet?

Citation Envoyé par Saverok  Voir le message
C'est une sacré preuve d'ouverture

Qui reste trop rare malheureusement. Pour la plupart des entreprises, si tu découvres une faille sur leur site web ou autres, la meilleur chose à faire est de garder ça pour toi, tant pis si la faille impacte les utilisateurs. C'est malheureux mais mieux vaut ne pas prendre le risque (assez grand) de te retrouver avec un procès aux fesses.
Avatar de D.Evan D.Evan - Membre régulier http://www.developpez.com
le 21/08/2014 à 16:08
Citation Envoyé par Saverok  Voir le message
@D.Evan
[...]
Nous avons 2 sociétés françaises Qosmos et Amesys (qui ont notamment fournis les logiciels de surveillance du net en Syrie) qui participent régulièrement à ces événements (par contre, je ne sais pas trop si on doit en être fier )

C'est extrêmement intéréssant, car il est vrai que ce business model (et celui de la sécurité informatique en général), m'a l'air assez fragile et que je le voyait plus réservé à des services de grosses compagnies, à des sociétés étrangères, du type ndienne par exemple, ou à des développeurs indépendants !

Maintenant, le faible nombre d'entreprise Française participant à ces activités ne m'étonne guère, la garantie de succès des découverte de bugs est assez faible. Je suis tout de même content d'apprendre qu'on arrive à ce défendre sur ce terrain-ci !

D. Evan
Avatar de Saverok Saverok - Expert éminent http://www.developpez.com
le 21/08/2014 à 16:23
Citation Envoyé par benjani13  Voir le message
Un certain Mr Brunet?

C'est fortuit, j'ai dit
HS : je suis très rarement d'accord avec lui mais j'aime ça façon de débattre sans langue de bois. Le débat sans troll, c'est top

Citation Envoyé par benjani13  Voir le message
Qui reste trop rare malheureusement. Pour la plupart des entreprises, si tu découvres une faille sur leur site web ou autres, la meilleur chose à faire est de garder ça pour toi, tant pis si la faille impacte les utilisateurs. C'est malheureux mais mieux vaut ne pas prendre le risque (assez grand) de te retrouver avec un procès aux fesses.

Vi
Tout le monde n'a pas la même ouverture d'esprit
Avatar de Saverok Saverok - Expert éminent http://www.developpez.com
le 21/08/2014 à 16:32
Citation Envoyé par D.Evan  Voir le message
Maintenant, le faible nombre d'entreprise Française participant à ces activités ne m'étonne guère, la garantie de succès des découverte de bugs est assez faible. Je suis tout de même content d'apprendre qu'on arrive à ce défendre sur ce terrain-ci !

Content d'Amesys ?
Je t'invite à faire quelques recherches sur les activités de cette société (c'est essentiellement des rumeurs vus son secteur d'activité mais les dictateurs semblent beaucoup apprécier ses services)
C'est le genre de rayonnement de la France qui te refile un cancer
Avatar de D.Evan D.Evan - Membre régulier http://www.developpez.com
le 21/08/2014 à 17:37
Citation Envoyé par Saverok  Voir le message
Content d'Amesys ?
Je t'invite à faire quelques recherches sur les activités de cette société (c'est essentiellement des rumeurs vus son secteur d'activité mais les dictateurs semblent beaucoup apprécier ses services)
C'est le genre de rayonnement de la France qui te refile un cancer

Houlala, en effet ! Mea culpa

Je ne connaissais pas le moins du monde la société Amesys, et, j'ai, hélas, fait un rapprochement un peu rapide, entre mes premiers propos, et la société que tu as cité. Je viens de regarder (très brièvement, je le confesse) l'historique de cette société, et, une certaine implication avec un ancien dictateur Lybien notamment ...

En effet, ce n'est pas très glorieux. Voilà qui ne va pas redorer notre blason !

Ca m'apprendra à parler sans me renseigner d'abord !

D. Evan
Avatar de Saverok Saverok - Expert éminent http://www.developpez.com
le 21/08/2014 à 17:56
Citation Envoyé par D.Evan  Voir le message
Houlala, en effet ! Mea culpa

Je ne connaissais pas le moins du monde la société Amesys, et, j'ai, hélas, fait un rapprochement un peu rapide, entre mes premiers propos, et la société que tu as cité. Je viens de regarder (très brièvement, je le confesse) l'historique de cette société, et, une certaine implication avec un ancien dictateur Lybien notamment ...

En effet, ce n'est pas très glorieux. Voilà qui ne va pas redorer notre blason !

Ca m'apprendra à parler sans me renseigner d'abord !

D. Evan

En même temps, c'est parmi l'élite mondiale de la vente d'arme numérique dans le monde
La réglementation de ce type d'activité est toujours royalement à la traîne (comme tout ce qui concerne le numérique) donc ils sont libres de faire tout ce qu'ils veulent.
Pour la moral par contre, on repassera plus tard
Offres d'emploi IT
Ingénieur AS400 Adelia IWS h/f
ELANZ - Ile de France - Nanterre (92000)
Ingénieur support fonctionnel (informatique) h/f
CTS NORD - Nord Pas-de-Calais - Lille (59000)
Ingénieur système linux/unix H/F
Centre de Service Sogeti - Midi Pyrénées - Toulouse (31000)

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil