Sécurité : la passoire Facebook bouche ses trous à coup de dollars

La sécurité a un prix. Qui s’élève à plus de 40 000 dollars pour Facebook à ce jour, remarque malicieusement Silicon.fr.

Il y a trois semaines, le réseau social lançait son Bug Bounty Program, un programme visant à récompenser financièrement les chasseurs de bugs extérieurs à l’entreprise de Mark Zuckerberg.

Une manière de renforcer la sécurité des applications en faisant appel à la communauté pour dénicher les bugs.

Facebook s’est ainsi engagé à verser un minimum de 500 dollars par bug « qui pourrait compromettre l’intégrité ou le caractère privé des données utilisateurs« .

Et visiblement, nombre de failles de sécurité ont été trouvées puisque le montant des primes versées s’élève déjà à 40 000 dollars en une vingtaine de jours.

Une initiative qui permet de mobiliser les hackers « white hat » (experts en sécurité légaux) pour contrer les failles utilisées par les hackers « black hat » (les pirates).

Sachant qu’une faille critique peut valoir jusqu’à 100 000 dollars sur le marché noir (selon le logiciel ou la plate-forme) indiquait au site Threat Post l’année dernière l’expert en sécurité Charlie Miller, spécialisé dans la chasse payante de bugs.

Une cinquantaine de développeurs issus de 16 pays, dont la Pologne et la Turquie, ont participé à la chasse aux vulnérabilités de l’application Facebook.

L’un deux a même reçu 7000 dollars pour six failles mises en lumière, précise le responsable de la sécurité de Facebook Joe Sullivan. Failles rapidement comblées en théorie.

« Le programme est formidable car il permet de rendre notre site plus sûr – en supervisant les grands et petits problèmes, en nous introduisant à de nouveaux vecteurs d’attaque, et en nous aidant à améliorer beaucoup notre approche du code« , poursuit le responsable.

Néanmoins, le nombre de failles trouvées, et leur nature, n’est pas précisé.

Rappelons que le programme de recherche de bugs ne s’applique qu’à l’application Facebook, pas à la plate-forme qui intègre les applications et sites tiers.

« Impossible, selon Joe Sullivan, parce que cela implique des centaines de milliers de services Internet indépendants« . Tout en assurant « se soucier profondément de la sécurité sur la plate-forme« grâce à une équipe dédiée qui scrute et audite la sécurité de ces partenaires.

Facebook a notamment mis en place une batterie d’outils qui détectent et éliminent les applications malintentionnées.

Il n’en reste pas moins que, face à la complexité des programmes informatiques, la méthode humaine pour dénicher des trous de sécurité reste visiblement la plus efficace à ce jour.

Surtout quand elle est motivée par la couleur de l’argent. Et, dans ce cadre, Facebook rejoint les initiatives similaires de Google pour Chrome ou Mozilla pour Firefox, notamment.

C’est aussi un moyen de contrôler la fuite des informations de sécurité que les développeurs pourraient être tentés de diffuser sur le web s’ils ne s’engageaient pas dans ce type de programme rémunéré.

Une approche dont l’efficacité est notamment encouragée par l’EFF (Electronic Frontier Foundation), le groupe de défense des droits des individus face aux technologies numériques.

Logo : © Yuri Arcurs – Fotolia.com, © Aelita – Fotolia.com, © Alexis – Net Media Europe