À 10 ans, il trouve une faille dans Instagram qui permet d'effacer les commentaires de n'importe quel utilisateur,
Facebook lui verse 10 000 $
Le 2016-05-04 12:36:17, par Stéphane le calme, Chroniqueur Actualités
Facebook a payé 10 000 dollars à un jeune finlandais âgé de 10 ans qui a trouvé une faille dans Instagram permettant à un individu d’effacer les commentaires des utilisateurs. Jani, dont le nom n’a pas été communiqué, devient ainsi la plus jeune personne à avoir trouvé une faille dans Facebook répondant aux critères de récompenses du Bug Bounty Program. Le précédent record avait été établi en 2013 par un jeune de 13 ans. Techniquement, son âge ne lui permet pas de créer un compte Instagram puisque dans l’espace confidentialité et sécurité il est précisé que « seules les personnes âgées de 13 ans et plus ont le droit de créer un compte sur Instagram (dans certaines juridictions, cette limite d’âge peut être plus élevée) ».
Le jeune d’Helsinki a découvert qu’il pouvait modifier le code des serveurs Instagram pour forcer la suppression des mots entrés par les utilisateurs. « J’aurais été en mesure d’éliminer quiconque, même Justin Bieber », a-t-il confié au quotidien finnois Iltalehti.
Facebook a expliqué à Forbes que Jani a prouvé son assertion en effaçant le commentaire que l’entreprise a posté sur un compte test. Un porte-parole de l’entreprise a confirmé que la faille a été colmatée en fin février et que 10 000 dollars ont été versés à Jani en mars. Le problème résidait dans une API privée qui ne vérifiait pas convenablement que la personne qui effaçait un commentaire était la même qui l’écrivait, a expliqué le porte-parole.
« Depuis son lancement en 2011, notre Bug Bounty Program a reçu plus de 2400 soumissions valides et récompensé plus de 800 chercheurs de par le monde par une compensation financière dépassant les 4,3 millions de dollars », avançait Reginaldo Silva, ingénieur en sécurité pour le compte de Facebook. Et d’expliquer que le paiement moyen versé était de 1780 dollars, une somme qui laisse donc penser que la faille découverte par Jani était suffisamment sévère.
Jani n’en est pas à son premier coup d’essai. D’après le quotidien Iltalehti, il s’intéresse depuis longtemps déjà au codage : « j’ai commencé à porter un intérêt à la sécurité de l’information et j’ai entrepris de regarder des vidéos sur YouTube ». Avec son frère jumeau, ils ont entrepris de chercher des failles dans la sécurité de plusieurs produits par le passé et en ont trouvé quelques-unes qui étaient malheureusement si faibles qu’elles ne leur ont pas permis de bénéficier d’une compensation financière. Mais ils ne se sont pas découragés pour autant et ils ont continué. D’ailleurs, Jani va confier qu’il aspire à une carrière dans la sécurité de l’information : « c’est mon travail de rêve. La sécurité est vraiment importante ».
Source : Espace confidentialité et sécurité d'Instagram (Facebook), Bug Bounty Program 2013 (Facebook), Bug Bounty Program (Facebook), Forbes, Iltalehti
Voir aussi :
Un chercheur trouve un bogue dans le système de réinitialisation de mot de passe de Facebook qui permet de réinitialiser tous les comptes
Richard Stallman, l'initiateur du mouvement du logiciel libre, recommande d'éradiquer Facebook qui « entrave les libertés » selon lui
Conférence F8 : Facebook lance une plateforme de chatbots sur Messenger ainsi que son API Send/Receive pour permettre les échanges contextuels
Le jeune d’Helsinki a découvert qu’il pouvait modifier le code des serveurs Instagram pour forcer la suppression des mots entrés par les utilisateurs. « J’aurais été en mesure d’éliminer quiconque, même Justin Bieber », a-t-il confié au quotidien finnois Iltalehti.
Facebook a expliqué à Forbes que Jani a prouvé son assertion en effaçant le commentaire que l’entreprise a posté sur un compte test. Un porte-parole de l’entreprise a confirmé que la faille a été colmatée en fin février et que 10 000 dollars ont été versés à Jani en mars. Le problème résidait dans une API privée qui ne vérifiait pas convenablement que la personne qui effaçait un commentaire était la même qui l’écrivait, a expliqué le porte-parole.
« Depuis son lancement en 2011, notre Bug Bounty Program a reçu plus de 2400 soumissions valides et récompensé plus de 800 chercheurs de par le monde par une compensation financière dépassant les 4,3 millions de dollars », avançait Reginaldo Silva, ingénieur en sécurité pour le compte de Facebook. Et d’expliquer que le paiement moyen versé était de 1780 dollars, une somme qui laisse donc penser que la faille découverte par Jani était suffisamment sévère.
Jani n’en est pas à son premier coup d’essai. D’après le quotidien Iltalehti, il s’intéresse depuis longtemps déjà au codage : « j’ai commencé à porter un intérêt à la sécurité de l’information et j’ai entrepris de regarder des vidéos sur YouTube ». Avec son frère jumeau, ils ont entrepris de chercher des failles dans la sécurité de plusieurs produits par le passé et en ont trouvé quelques-unes qui étaient malheureusement si faibles qu’elles ne leur ont pas permis de bénéficier d’une compensation financière. Mais ils ne se sont pas découragés pour autant et ils ont continué. D’ailleurs, Jani va confier qu’il aspire à une carrière dans la sécurité de l’information : « c’est mon travail de rêve. La sécurité est vraiment importante ».
Source : Espace confidentialité et sécurité d'Instagram (Facebook), Bug Bounty Program 2013 (Facebook), Bug Bounty Program (Facebook), Forbes, Iltalehti
Voir aussi :
-
PellouailleMembre actifle 04/05/2016 à 12:57
-
Vivien46Membre avertiNon, en fait il a utilisé le mot "éliminer" juste avant. Donc là ça tient la routele 04/05/2016 à 14:14
-
CafeinomanMembre éprouvéTout le monde sait ça. Et puis je suis persuadé que papa et maman sont des gens sans diplôme et qui cumul les petits boulots pour un salaire pourri, ce qui prouve aussi que l'environnement social n'a pas d'influence...
Qu'on discute des mérites de l'école finnoise ok, qu'on dise des choses absurdes, non.le 04/05/2016 à 13:36 -
ZenZiToneMembre expertle 12/05/2016 à 10:12
-
ZenZiToneMembre expertle 04/05/2016 à 16:39
-
benjamin_musiqueMembre habituéhacker à 13 ans à la rigueur mais à 10??? ça veut dire que ce petit à découvert
la lecture
l'écriture
la frappe au clavier
le fonctionnement d'un ordinateur
le fonctionnement d'un site web
la programmation
le hacking
en // de l'école, des devoirs, de mettre la table, on va voir mamie ce week end, etcle 11/05/2016 à 16:09 -
atlantixCandidat au Club"Encore un expemple qui prouve que l'école c'est une perte de temps collossale."
Ne plus savoir écrire, ne plus savoir calculer ...
C'est ça la solution ?
L'école est la solution à nos problèmes.le 04/05/2016 à 14:32 -
AcidixMembre à l'essaigrav mwa jé arété lécol tfasson sa ser a ri1, jvai devnir rich kom sale 04/05/2016 à 16:07
-
Chuck_NorrisMembre émériteDonc la personne la plus importante au monde pour cet enfant, c'est Justin Bieber ?le 04/05/2016 à 14:12
-
KikutsMembre éprouvé"Encore un expemple qui prouve que l'école c'est une perte de temps collossale."
Je pense qu'il parlait des écoles supérieurs... Ou que les études sont surfaits dans le sens où une personne sans diplôme mais disposant largement des compétences aura plus de mal à trouver un boulot qu'une personne diplomé mais moyenne voir même médiocre.
Evidemment que savoir lire et écrire est indispensable...le 04/05/2016 à 16:20