Facebook lance enfin un programme de bug bounty pour le scraping : pourquoi c'est important
« Nous lançons deux nouveautés pour nos programmes de big bounty », a annoncé Meta, le nouveau nom du groupe Facebook, le 15 décembre.
Le scraping est un problème de taille pour la plateforme, qui a déjà subi des fuites à cause de cette technique. Le fait qu'elle permette désormais de rapporter les bugs liés à cette activité et de recevoir une certaine récompense est cependant une première, et montre que Facebook est enfin prêt à prendre des actions. Mais pourtant, il manque encore des choses importantes pour que le problème soit vraiment pris au sérieux.
Voici pourquoi cette nouvelle est importante — et ce qui ne va pas avec certains aspects des annonces de Facebook.
Qu'est-ce qu'un bug bounty ?
Il est tout d'abord important de revenir sur plusieurs définitions de base : qu'est-ce que le bug bounty ? La pratique du bug bounty est assez ancienne, et elle consiste à faire appel à des hackers extérieurs à l'entreprise afin qu'ils testent la sécurité de son infrastructure, ou de son site.
Les pirates en question sont considérés comme des white hat, c'est-à-dire des « hackers éthiques », qui veulent aider à renforcer la sécurité des sites avant que d'autres, mal intentionnés, ne les compromettent. Si les white hat arrivent à trouver une faille ou un des bugs, ils les rapportent à l'entreprise, qui en retour leur accorde une récompense (bounty en anglais).
Qu'est-ce que le scraping ?
Le scraping, littéralement grattage en anglais, désigne le fait de récolter, grâce à un programme informatique, des informations publiques. Il ne s'agit donc pas de hacking ou de véritables fuites de données. C'est parce qu'il rassemble ces données, habituellement séparées, dans des bases de données et les rend très facilement consultables, que le scraping peut être considéré comme un acte malveillant, particulièrement lorsqu'il s'agit d'informations sur les utilisateurs et utilisatrices de certains sites.
Le scraping n'est pas en soi, une pratique illégale. Cependant, elle est très souvent à la frontière. Et s'il s'agit de données sensibles, comme des numéros de téléphone ou des données de santé, le scraping peu être sanctionné par le RGPD.
La pratique est dans tous les cas interdite sur la plupart des sites, qui essayent parfois de limiter le nombre de requêtes envoyées par les scripts de scraping — c'est le cas pour Facebook. Et l'annonce du bug bounty est justement liée aux protectionsréc mises en place par le réseau social pour empêcher le scraping des données de ses utilisateurs.
Que va changer le bug bounty de Facebook sur le scraping ?
Mais il n'est pas vraiment facile de se protéger de toutes les tentatives de scraping. « Nous savons que le scraping est une activité qui touche tous les sites », a expliqué Meta dans son communiqué de presse. « Nous savons également que c'est une activité très compétitive, où les scrapeurs — qu'ils travaillent avec des apps, des sites ou des scripts — adaptent constamment leurs tactiques afin de passer à travers les protections que nous avons mises en place. Une partie de notre stratégie de lutte contre le scraping consiste à le rendre plus dur et plus coûteux pour les attaquants, et pour cela, nous commençons dès aujourd'hui à récompenser les rapports valides de bugs sur notre plateforme.»
Concrètement, le programme couvre deux types particuliers de failles.
Tout d'abord, les méthodes de scraping en elles-mêmes. « Nous cherchons tout particulièrement des bugs qui permettraient aux attaquants de passer outre nos limitations et d'avoir accès à des données à grande échelle », précise Meta. Même si les hackers présentent des données déjà exposées, ils peuvent être récompensés s'ils livrent de nouvelles informations sur les techniques employées par les scrapeurs. Les récompenses seront d'au moins 500 dollars, précise Meta, et le montant pourra évoluer en fonction de la complexité de la faille détectée.
Meta veut également recevoir des rapports sur des bases de données qui auraient fuité. « Nous récompenserons les rapports sur des bases de données non protégées, ou publiquement accessibles, si elles contiennent les données sensibles ou à caractère personnel (adresse mail, numéro de téléphone, adresse, religion, ou orientation politique) d'au moins 100 000 utilisateurs de Facebook », explique également le groupe.
Pour que les hackers reçoivent une récompense, ils devront présenter des « bases de données qui ne sont pas des copies d'autres bases, et qui ne sont pas connues de Meta ». L'entreprise explique avoir mis en place cette mesure afin d'éviter que les hackers ne récupèrent eux-mêmes des bases de données afin de demander la récompense. Les hackers qui dévoileraient des bases de données ne seront, de plus, pas directement récompensés : Meta propose seulement de reverser une donation à l'association caritative de leur choix.
Facebook a connu de nombreux problèmes à cause du scraping
L'annonce d'un tel bug bounty de la part de Meta n'est pas étonnante — même si elle arrive tardivement. Facebook a en effet connu à plusieurs reprises des problèmes de fuite de données dus à la pratique. Notamment en 2019, lorsqu'il y a été révélé que plus de 400 millions de numéros de téléphone ont été récupérés par scraping par une entreprise peu scrupuleuse. En avril 2021, ce sont à nouveau 500 millions de numéros de téléphone, obtenus par scraping, qui ont fuité.
Il y a également plusieurs problèmes avec la façon dont Facebook compte accepter les rapports de bugs. Le fait de ne pas payer les hackers qui exposeraient des bases de données pourrait décourager certaines personnes de les reporter. Accepter seulement les bases de données originales est également une très mauvaise idée : ce n'est pas parce qu'une donnée a déjà été rendue publique par le passé que la méthode utilisée pour l'obtenir est la même. Le bug bounty pourrait donc ne pas apporter les résultats espérés — et ce seront les utilisateurs de Facebook qui en pâtiront les premiers.