Facebook offre des milliers de dollars à des chasseurs de bugs

INTERNET La société de Mark Zuckerberg a versé 40.000 dollars en trois semaines à des découvreurs de failles de sécurité sur le réseau social...

A.G.

— 

Page d'accueil du réseau social Facebook.
Page d'accueil du réseau social Facebook. — US-IT-COMPANY-FACEBOOK

Il y a trois semaines, Facebook lançait son «Bug Bounty Program», une opération visant à récompenser financièrement ceux qui traquent les failles de sécurité de son site. Le réseau social s’est engagé à verser 500 dollars au minimum par bug déniché. En général, ces chasseurs de bugs sont des experts en sécurité extérieurs à l’entreprise ou des chercheurs dans ce domaine. Et à en croire le premier bilan mis en ligne par Facebook, le programme remporte un franc succès.

«C’est incroyable de voir comme les talents indépendants spécialisés en sécurité se sont mobilisés dans le monde entier pour nous venir en aide (…) Ce programme a permis d’engager le dialogue avec de nouvelles personnes de plus de 16 pays différents, passionnés par la sécurité sur Internet», écrit sur Facebook Joe Sullivan, responsable de la sécurité du site. Il ajoute: «Le programme a déjà récompensé (plusieurs dizaines de personnes, ndlr) à hauteur de 40.000 dollars en trois semaines seulement et une personne a reçu à elle seule plus de 7.000 dollars pour avoir découvert six failles différentes.»

Améliorer la sécurité du réseau social et limiter la fuite d’informations

En lançant cette gigantesque chasse aux bugs, Facebook veut améliorer la sécurité du réseau social et limiter la fuite d’informations. «Le programme est formidable car il permet de rendre notre site plus sûr –en supervisant les grands et petits problèmes, en nous introduisant à de nouveaux vecteurs d’attaque, et en nous aidant à améliorer beaucoup notre approche du code», écrit Joe Sullivan. Toutefois, les failles détectées concernent seulement le site en lui-même et non les applications développées par d’autres sociétés. Une chose qui s’avère impossible pour Joe Sullivan, car «cela implique des centaines de milliers de services Internet indépendants».

A côté de Facebook, d’autres entreprises comme Google et Mozilla ont déjà eu recours à ces chasseurs de bugs. Le phénomène n’est donc pas nouveau. Cette année, le moteur de recherche a par exemple versé plus de 100.000 dollars aux découvreurs de failles sur son navigateur Chrome, via son programme «Chromium Security Rewards».