Depuis 2011, Facebook a dépensé plus de 4,3 millions de dollars dans son programme de chasse aux bugs. Plus de 2400 vulnérabilités ont pu être corrigées par ce canal.

On peut être une entreprise pesant plusieurs milliards de dollars et avoir quand même besoin d’un coup de main pour protéger ses activités. Facebook pourrait en témoigner sans l’ombre d’une hésitation. Malgré des ressources colossales et une horde d’ingénieurs et de techniciens à sa disposition, le réseau social doit parfois compter sur une aide extérieure pour améliorer sa sécurité.

Et cette aide n’est pas gratuite.

facebook-app-1200.jpg
Trouver les failles, dès l’écran de connexion.

Depuis la mise en place de son programme de chasse aux bugs à l’été 2011, le site communautaire a dépensé pas moins de 4,3 millions de dollars (soit environ 3,8 millions d’euros) pour récompenser ceux qui lui signalent des failles et des bugs de façon responsable. Un prix qui n’est pas très cher payé vu le nombre de vulnérabilités qui ont pu être corrigées grâce à ce système.

En effet, cela fait une moyenne de 1791 dollars (1603 euros environ) par vulnérabilité. Cela n’est guère élevé au regard des moyens financiers de Facebook, mais visiblement cela ne dissuade pas les chercheurs de continuer à participer au programme. Au total, plus de 800 personnes ont touché une récompense.

2400 failles repérées depuis 2011.

En l’espace de quatre ans et demi, ce sont en effet plus de 2400 vulnérabilités qui ont été signalées à Facebook, indique Reginaldo Silva, un ingénieur chargé de travailler sur la sécurité du site, cité par The Register. Des brèches dont la criticité est variable, et qui incluent les traditionnelles failles XSS (cross-site scripting) et XSRF (cross-site request forgery).Celles-ci deviennent toutefois plus difficiles à dénicher avec le temps, selon Reginaldo Silva, ce qui incite les chercheurs en sécurité à s’intéresser à d’autres aspects de la sécurité du réseau social, dont sa logique métier. Cela permet au site « d’appliquer des règles à son code et d’éliminer à cette occasion des classes entières de vulnérabilités », précise The Register.

Par ailleurs, la qualité des signalements produits par les experts a grandement progressé avec le temps, qu’il s’agisse du descriptif détaillé du bug et des conséquences potentielles pour les utilisateurs que des étapes à accomplir afin que les développeurs du réseau social puissent le reproduire et ainsi trouver la meilleure parade à adopter.

L’intérêt de ce programme est donc évident. Et surtout, il incite les découvreurs de failles à prendre contact avec les développeurs du réseau social pour toucher une prime, ce qui réduire le risque de voir des brèches être divulguées dans des concours de hack ou sur Internet. Cela a évidemment un coût (raisonnable) pour Facebook. Mais la sécurité de ses utilisateurs est à ce prix.

Pour ne rien manquer de l’actualité de Facebook, abonnez-vous à notre newsletter !

Partager sur les réseaux sociaux

Articles liés