Facebook attribue 100 000 dollars aux chasseurs de bugs
Dans la cadre de son programme Internet Defense Prize, Facebook a remis 100 000 dollars à des chercheurs planchant sur un système de vulnérabilités C++.
Lors du Usenix Security Symposium, qui se tient du 12 au 14 août à Washington, Facebook a remis un prix de 100 000 dollars à une équipe de chercheurs de l’université Georgia Tech. Le réseau social double ainsi la prime qu’il accordait aux chasseurs de bugs dans le cadre de son concours baptisé Internet Defense Prize.
Les récompenses à 6 chiffres restent l’exception dans les programmes de chasse aux bugs que mettent en place les éditeurs. Seul Microsoft semble à ce jour se montrer plus généreux, avec 200 000 $ de récompense accordée à un chercheur dans le cadre de son Blue Hat Prize (mais c’était en 2012).
Le premier éditeur mondial vient également de passer à 100 000 $ maximum la prime associée à son programme au long cours de ‘bug bounty’.
Dans un article de recherche, les deux doctorants de Georgia Tech (Byoungyoung Lee et Chengyu Song) retenus par Facebook, épaulés par leurs professeurs Taesoo Kim et Wenke Lee (voir la photo ci-dessus), mettent en évidence une classe émergente de vulnérabilités C++ (Type Casting Verification), aboutissant à des phénomènes de corruption de la mémoire.
Ils fournissent aussi un outil de détection (CaVeR) de ces failles. Outil qui a déjà permis de découvrir deux failles dans Firefox et neuf autres dans libstdc++, la librairie C++ standard utilisée notamment par Chrome. Ces vulnérabilités ont, depuis, été patchées, rappelle Silicon.fr.
« La recherche en sécurité fait souvent la part belle aux recherches offensives et accorde moins d’attention aux gens effectuant les travaux les plus sérieux, nécessaires pour garder les systèmes sûrs et pour réduire le risque né de classes entières de vulnérabilités », explique Ioannis Papagiannis, responsable de la sécurité de Facebook.
Le réseau social indique qu’il espère que le prix permettra aux chercheurs de continuer à améliorer CaVeR et à le rendre accessible et utile à grande échelle.
« Ces travaux ciblent un problème de sécurité très concret », exploité par exemple dans un exploit ciblant Chrome en 2013, reprend Ioannis Papagiannis, dans un billet de blog.
Pour le responsable, si Facebook investit tout cet argent dans la recherche en sécurité, c’est avant tout pour des raisons… très pragmatiques.
« La raison pour laquelle Facebook a réussi à servir les besoins de près de 1,5 milliard d’individus réside dans notre capacité à introduire et à mettre en œuvre très rapidement des catégories de systèmes et de frameworks qui nous permettent d’éviter, en une fois, des classes entières de vulnérabilités », écrit-il.
Crédit image : rvlsoft – Shutterstock.com