Pour gérer vos consentements :

Facebook attribue 100 000 dollars aux chasseurs de bugs

Lors du Usenix Security Symposium, qui se tient du 12 au 14 août à Washington, Facebook a remis un prix de 100 000 dollars à une équipe de chercheurs de l’université Georgia Tech. Le réseau social double ainsi la prime qu’il accordait aux chasseurs de bugs dans le cadre de son concours baptisé Internet Defense Prize.

Les récompenses à 6 chiffres restent l’exception dans les programmes de chasse aux bugs que mettent en place les éditeurs. Seul Microsoft semble à ce jour se montrer plus généreux, avec 200 000 $ de récompense accordée à un chercheur dans le cadre de son Blue Hat Prize (mais c’était en 2012).

Le premier éditeur mondial vient également de passer à 100 000 $ maximum la prime associée à son programme au long cours de ‘bug bounty’.

Dans un article de recherche, les deux doctorants de Georgia Tech (Byoungyoung Lee et Chengyu Song) retenus par Facebook, épaulés par leurs professeurs Taesoo Kim et Wenke Lee (voir la photo ci-dessus), mettent en évidence une classe émergente de vulnérabilités C++ (Type Casting Verification), aboutissant à des phénomènes de corruption de la mémoire.

Ils fournissent aussi un outil de détection (CaVeR) de ces failles. Outil qui a déjà permis de découvrir deux failles dans Firefox et neuf autres dans libstdc++, la librairie C++ standard utilisée notamment par Chrome. Ces vulnérabilités ont, depuis, été patchées, rappelle Silicon.fr.

« La recherche en sécurité fait souvent la part belle aux recherches offensives et accorde moins d’attention aux gens effectuant les travaux les plus sérieux, nécessaires pour garder les systèmes sûrs et pour réduire le risque né de classes entières de vulnérabilités », explique Ioannis Papagiannis, responsable de la sécurité de Facebook.

Le réseau social indique qu’il espère que le prix permettra aux chercheurs de continuer à améliorer CaVeR et à le rendre accessible et utile à grande échelle.

« Ces travaux ciblent un problème de sécurité très concret », exploité par exemple dans un exploit ciblant Chrome en 2013, reprend Ioannis Papagiannis, dans un billet de blog.

Pour le responsable, si Facebook investit tout cet argent dans la recherche en sécurité, c’est avant tout pour des raisons… très pragmatiques.

« La raison pour laquelle Facebook a réussi à servir les besoins de près de 1,5 milliard d’individus réside dans notre capacité à introduire et à mettre en œuvre très rapidement des catégories de systèmes et de frameworks qui nous permettent d’éviter, en une fois, des classes entières de vulnérabilités », écrit-il.

Crédit image : rvlsoft – Shutterstock.com

Recent Posts

Cybersécurité : attention aux QR codes dans les PDF

Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…

2 semaines ago

Windows 11 : une mise à jour majeure apporte de nouvelles fonctionnalités

Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…

2 mois ago

Microsoft 365 : comment Copilot se déploie dans toutes les applications

L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…

2 mois ago

PC Copilot + : Microsoft veut garder Recall

Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…

3 mois ago

Windows 11 : comment Microsoft va réduire la taille des mises à jour

Comment réduire la taille des mises à jour de Windows 11 ? Microsoft annonce la…

4 mois ago

Windows 11 : comment Bloc-notes va remplacer WordPad

Déjà doté de la sauvegarde automatique, d'un compteur de caractères et de Copilot, Bloc-notes embarque…

4 mois ago