Le réseau social américain a mis en place un programme destiné à récompenser les découvertes de faille. Facebook propose 500 dollars par vulnérabilité découverte et précise que le montant pourra augmenter si la faille présente des caractéristiques particulières.

Premier réseau social en nombre d’inscrits avec plus de 750 millions de membres, Facebook doit accorder une attention toute particulière à la sécurité des profils. Régulièrement critiqué pour sa politique à géométrie variable en matière de vie privée, le site communautaire s’emploie depuis près d’un an à retrouver la confiance des utilisateurs, même si des progrès restent à faire dans le domaine de la confidentialité.

Dans ce cadre, Facebook a mis en place un programme destiné à récompenser les internautes participant à la sécurisation du réseau social. Tout comme Google et Mozilla, le site communautaire souhaite rémunérer les chercheurs en sécurité qui signalent en privé la moindre faille de sécurité qui pourrait compromettre d’une façon ou d’une autre la confidentialité des profils ou la sécurité des comptes.

Une page dédiée a été ouverte avec quelques informations sur le programme. Pour être éligible, l’internaute doit au préalable adhérer à la politique de divulgation responsable du site. Cela signifie que la faille doit d’abord être communiquée à Facebook avant d’être présentée au grand public. Le réseau social demande également un temps raisonnable pour permettre aux équipes en charge du développement de corriger le bug.

Pour toucher la récompense, il faut également être le premier à signaler la vulnérabilité. Parmi les bugs recevables, Facebook évoque le Cross-Site Scripting (XSS), le Cross-Site Request Forgery (CSRF/XSRF) ou encore l’injection de code à distance. Il n’y a qu’une seule récompense par faille et il faut que le découvreur ne vive pas dans un pays ciblé par des sanctions américaines (Corée du Nord, Iran, Libye, Cuba…)

Seules les failles impactant la confidentialité des utilisateurs ou des données sont concernées par le programme. Les bugs découverts sur des applications tierces, sur des sites externes intégrant des modules Facebook, sur l’infrastructure professionnelle de Facebook, les vulnérabilités permettant des attaques par déni de service (DoS), les techniques d’ingénierie sociale et le spam sont donc exclus.

Le montant de base par faille repérée est de 500 dollars (348 euros). Cependant, Facebook pourra augmenter la récompense si la vulnérabilité en question présente des caractéristiques spécifiques ou si sa dangerosité est importante. En comparaison, Google et Mozilla – qui ont mis en place des programmes similaires – offrent respectivement jusqu’à 3 133,7 et 3 000 dollars en fonction des découvertes.

Le dispositif mis en place par Facebook n’est donc pas nouveau. Il présente aussi un double avantage. Il permet d’une part d’accélérer le repérage des vulnérabilités en mettant à contribution des spécialistes extérieurs. D’autre part, il incite les spécialistes à contacter directement les équipes en charge du développement pour toucher une prime, plutôt que de les divulguer à travers des concours ou directement sur Internet.

Partager sur les réseaux sociaux

Articles liés