Facebook reconnaît qu’il doit encourager les chercheurs à scruter les failles de sécurité IT alors que le réseau social réactualise sa politique de révélation des vulnérabilités.
Cela fait longtemps que Facebook encourage les « chercheurs de bugs » à partager avec lui les informations portant sur les failles avant d’envisager une révélation grand public.
Cependant, les termes employés dans le précédent règlement laissaient à penser que les chercheurs risquaient des mesures de représailles de la part de Facebook.
« Nous avons modifié les clauses du règlement afin que les chercheurs se sentent davantage à l’aise s’ils souhaitent collaborer avec nous afin de réparer une faille », explique Ryan McGeehan, Directeur en charge des réactions liées aux incidents de sécurité chez Facebook.
« La précédente version pouvait être interpellée ainsi : si un chercheur trouve une faille de sécurité, Facebook pourrait engager une action en justice à son encontre », ajoute-t-il. « Ce n’est pas notre intention et nous avons levé l’ambiguïté sur le sujet il y a une semaine et demi. »
Le nouveau règlement stipule : « Si vous partagez des éléments de sécurité avec nous, si vous nous donnez un délai raisonnable de réaction avant de diffuser les informations au grand public, si les recherches sont menées avec bonne foi dans un objectif d’éviter des fuites ou la destruction de données personnelles ou l’interruption et la dégradation du service, nous ne porterons pas plainte devant la justice ou nous ne demanderons pas aux agences officielles de sécurité informatique d’initier un enquête à votre encontre ».
Ce problème lié à la politique de révélation (« disclosure policy ») constitue toujours un point sensible dans le monde de la sécurité IT.
Des éditeurs comme Google et Mozilla proposent des récompenses pécuniaires pour inciter les chercheurs à partager directement leurs informations dans leurs produits.
« Des gens bien intentionnés ont souvent peur d’entamer une discussion sur les failles de sécurité avec les éditeurs ou fournisseurs de services IT. Ils ne savent pas s’ils seront bien reçus ou s’ils seront remerciés avec une action en justice enclenchée à son encontre », commente Marcia Hofmann, conseiller juridique senior pour le compte de l’Electronic Frontier Foundation (EFF), dans une contribution blog en date du 17 décembre.
L’organisation américaine, qui veille sur la protection des libertés civiles sur Internet, a contribué à l’élaboration de la nouvelle politique de sécurité IT chez Facebook.
« Ces tensions sont déplorables car les sociétés Internet ont besoin de savoir ce qui doit être corrigés afin d’améliorer la sécurité des sessions Internet. » (…)
Adaptation libre en français d’un article eWeek UK en date du 21/12/10 : Facebook Revises Bug Disclosure Policy
Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…
Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…
L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…
Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…
Comment réduire la taille des mises à jour de Windows 11 ? Microsoft annonce la…
Déjà doté de la sauvegarde automatique, d'un compteur de caractères et de Copilot, Bloc-notes embarque…