IdentifiantMot de passe
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Facebook rajoute Oculus à son Bug Bounty Program
Trouvez des failles dans le site web, le SDK ou le casque et obtenez une récompense

Le , par Stéphane le calme
11 commentaires

45PARTAGES

3  0 
Facebook rajoute Oculus à son Bug Bounty Program,
trouvez des failles dans le site web, le SDK ou le casque et obtenez une récompense

En mars 2014, Facebook a fait irruption dans le monde de la réalité virtuelle immersive avec le rachat d’Oculus VR pour un montant de 2 milliards de dollars. D’après nos confrères chez The Verge, le numéro un des réseaux sociaux a décidé d'ajouter Oculus à son programme de chasse aux bugs ; ainsi, conformément au règlement, quiconque lui rapportera des failles dans la sécurité de sa nouvelle acquisition recevra au minimum 500 dollars en fonction de son degré de sévérité et sa créativité. Pour rappel, Facebook n’a mis aucun plafond à la récompense et a fourni des exemples de problèmes réels ainsi que des récompenses qui ont été versées aux chercheurs. L’année dernière, l’entreprise a déboursé 1,5 millions de dollars dans le cadre de son programme.

Near Poole, un ingénieur sécurité Facebook, a expliqué qu’à l’heure actuelle la plupart des bugs sont dans le système de messagerie des développeurs Oculus et des parties du site, ce qui ne les rend pas très différents des bugs trouvés sur le réseau social. Cependant, puisqu’Oculus est le premier produit physique de l’entreprise, l’équipe de sécurité pourrait rencontrer de nouveaux types de bug.

« La majorité des difficultés liées à Oculus ne proviennent pas nécessairement du matériel pour le moment », a expliqué Poole. « Potentiellement dans l'avenir, si les gens allaient explorer et découvrir des failles dans le SDK ou le matériel, il est évident que cela aura un intérêt pour nous » a-t-il ajouté.

De nombreuses sociétés technologiques ont recours à ce procédé pour vérifier leurs codes et rémunérer au passage des particuliers, voire des entreprises. Des évènements sont organisés où des éditeurs proposent à des professionnels de briser les défenses de leurs logiciels. Le programme de Facebook a été mis sur pied depuis juillet 2011.

Source : The Verge

Et vous ?

Qu'en pensez-vous ?
Vous avez lu gratuitement 617 articles depuis plus d'un an.
Soutenez le club developpez.com en souscrivant un abonnement pour que nous puissions continuer à vous proposer des publications.

Une erreur dans cette actualité ? Signalez-nous-la !

11 commentaires
Commenter Signaler un problème
D.Evan
Avatar de D.Evan
Membre régulier https://www.developpez.com
Le 21/08/2014 à 14:45
@Shuty

Je suis entièrement d'accord avec toi. En plus de l'intéret que ça représente pour les hackers (au sens générique du terme), je pense sérieusement que les produits ayant subit se type de programme ne peuvent s'en retrouvé que plus sécurisée. De plus, même si à l'échelle individuel, pour un particulier notamment, la récompense peut-être intéréssante (je pense surtout à certain pays "en voie de développement" (ce terme ne me plait guère), où, 500, 1000 ou 2000 $US peuvent représenter un gain non négligeable pour les développeurs !) d'un point de vue financier, je pense que Facebook & Cie, y gagnent beaucoup. Malgrès l'importance de la somme, il est vrai que (désolé si je choque), 1.5millions $US ne représente presque "rien" à leur échelle.

Bref, c'est un programme réellement gagnant-gagnant-gagnant (la société, les hackers, les utilisateurs), chose relativement rare et qui mérite d'être souligné. J'espère que d'autres sociétés, pourrait s'inspirer de ces programmes.
5  0 
benjani13
Avatar de benjani13
Membre extrêmement actif https://www.developpez.com
Le 21/08/2014 à 15:45
Citation Envoyé par Saverok Voir le message
@D.Evan
Carrément d'accord (tout lien avec une émission de radio est fortuite )
Un certain Mr Brunet?

Citation Envoyé par Saverok Voir le message
C'est une sacré preuve d'ouverture
Qui reste trop rare malheureusement. Pour la plupart des entreprises, si tu découvres une faille sur leur site web ou autres, la meilleur chose à faire est de garder ça pour toi, tant pis si la faille impacte les utilisateurs. C'est malheureux mais mieux vaut ne pas prendre le risque (assez grand) de te retrouver avec un procès aux fesses.
4  0 
benjani13
Avatar de benjani13
Membre extrêmement actif https://www.developpez.com
Le 21/08/2014 à 14:43
Citation Envoyé par Shuty Voir le message
Je pense que c'est un bon moyen de convertir les hacker black hat en white hat...

Sérieusement, je pense que c'est une bonne chose et que beaucoup devraient prendre exemple.

Ormis facebook, google, et oracle vous connaissez d'autre sociétés qui font ce type de campagnes ?
Qwant (le moteur de recherche français, cocorico) l'a fait lors de la dernière nuit du hack

Mais c'est sur que ça reste limité à quelques entreprises bien geek.
2  0 
Shuty
Avatar de Shuty
Membre éprouvé https://www.developpez.com
Le 21/08/2014 à 14:07
Je pense que c'est un bon moyen de convertir les hacker black hat en white hat...

Sérieusement, je pense que c'est une bonne chose et que beaucoup devraient prendre exemple.

Ormis facebook, google, et oracle vous connaissez d'autre sociétés qui font ce type de campagnes ?
2  1 
Saverok
Avatar de Saverok
Expert éminent https://www.developpez.com
Le 21/08/2014 à 15:30
@D.Evan
Carrément d'accord (tout lien avec une émission de radio est fortuite )

C'est une sacré preuve d'ouverture
Par contre, les développeurs indépendants sous souvent mis hors course car en concurrence directe avec de plus en plus d'entreprises spécialisées dans sécurité qui se servent de ces événements pour se faire de la pub (et aussi repérer des failles qu'ils ne déclareront pas au cours de l'événement mais là, c'est le jeu de l’espionnage)
Nous avons 2 sociétés françaises Qosmos et Amesys (qui ont notamment fournis les logiciels de surveillance du net en Syrie) qui participent régulièrement à ces événements (par contre, je ne sais pas trop si on doit en être fier )
1  0 
D.Evan
Avatar de D.Evan
Membre régulier https://www.developpez.com
Le 21/08/2014 à 16:08
Citation Envoyé par Saverok Voir le message
@D.Evan
[...]
Nous avons 2 sociétés françaises Qosmos et Amesys (qui ont notamment fournis les logiciels de surveillance du net en Syrie) qui participent régulièrement à ces événements (par contre, je ne sais pas trop si on doit en être fier )
C'est extrêmement intéréssant, car il est vrai que ce business model (et celui de la sécurité informatique en général), m'a l'air assez fragile et que je le voyait plus réservé à des services de grosses compagnies, à des sociétés étrangères, du type ndienne par exemple, ou à des développeurs indépendants !

Maintenant, le faible nombre d'entreprise Française participant à ces activités ne m'étonne guère, la garantie de succès des découverte de bugs est assez faible. Je suis tout de même content d'apprendre qu'on arrive à ce défendre sur ce terrain-ci !

D. Evan
1  0 
Saverok
Avatar de Saverok
Expert éminent https://www.developpez.com
Le 21/08/2014 à 16:23
Citation Envoyé par benjani13 Voir le message
Un certain Mr Brunet?
C'est fortuit, j'ai dit
HS : je suis très rarement d'accord avec lui mais j'aime ça façon de débattre sans langue de bois. Le débat sans troll, c'est top

Citation Envoyé par benjani13 Voir le message

Qui reste trop rare malheureusement. Pour la plupart des entreprises, si tu découvres une faille sur leur site web ou autres, la meilleur chose à faire est de garder ça pour toi, tant pis si la faille impacte les utilisateurs. C'est malheureux mais mieux vaut ne pas prendre le risque (assez grand) de te retrouver avec un procès aux fesses.
Vi
Tout le monde n'a pas la même ouverture d'esprit
1  0 
Saverok
Avatar de Saverok
Expert éminent https://www.developpez.com
Le 21/08/2014 à 16:32
Citation Envoyé par D.Evan Voir le message
Maintenant, le faible nombre d'entreprise Française participant à ces activités ne m'étonne guère, la garantie de succès des découverte de bugs est assez faible. Je suis tout de même content d'apprendre qu'on arrive à ce défendre sur ce terrain-ci !
Content d'Amesys ?
Je t'invite à faire quelques recherches sur les activités de cette société (c'est essentiellement des rumeurs vus son secteur d'activité mais les dictateurs semblent beaucoup apprécier ses services)
C'est le genre de rayonnement de la France qui te refile un cancer
1  0 
D.Evan
Avatar de D.Evan
Membre régulier https://www.developpez.com
Le 21/08/2014 à 17:37
Citation Envoyé par Saverok Voir le message
Content d'Amesys ?
Je t'invite à faire quelques recherches sur les activités de cette société (c'est essentiellement des rumeurs vus son secteur d'activité mais les dictateurs semblent beaucoup apprécier ses services)
C'est le genre de rayonnement de la France qui te refile un cancer
Houlala, en effet ! Mea culpa

Je ne connaissais pas le moins du monde la société Amesys, et, j'ai, hélas, fait un rapprochement un peu rapide, entre mes premiers propos, et la société que tu as cité. Je viens de regarder (très brièvement, je le confesse) l'historique de cette société, et, une certaine implication avec un ancien dictateur Lybien notamment ...

En effet, ce n'est pas très glorieux. Voilà qui ne va pas redorer notre blason !

Ca m'apprendra à parler sans me renseigner d'abord !

D. Evan
1  0 
Saverok
Avatar de Saverok
Expert éminent https://www.developpez.com
Le 21/08/2014 à 17:56
Citation Envoyé par D.Evan Voir le message
Houlala, en effet ! Mea culpa

Je ne connaissais pas le moins du monde la société Amesys, et, j'ai, hélas, fait un rapprochement un peu rapide, entre mes premiers propos, et la société que tu as cité. Je viens de regarder (très brièvement, je le confesse) l'historique de cette société, et, une certaine implication avec un ancien dictateur Lybien notamment ...

En effet, ce n'est pas très glorieux. Voilà qui ne va pas redorer notre blason !

Ca m'apprendra à parler sans me renseigner d'abord !

D. Evan
En même temps, c'est parmi l'élite mondiale de la vente d'arme numérique dans le monde
La réglementation de ce type d'activité est toujours royalement à la traîne (comme tout ce qui concerne le numérique) donc ils sont libres de faire tout ce qu'ils veulent.
Pour la moral par contre, on repassera plus tard
1  0 
Commenter Signaler un problème