A la recherche des failles : Facebook récompense encore plus les hackers éthiques

26 septembre 2018

Facebook étend son programme Bug Bounty aux applications tierces pour récompenser les hackers qui repèrent des failles. Une annonce pas si anodine.

Chez Facebook, les hackers éthiques, appelés « white hats », sont bien reçus. En 2011, l’entreprise a lancé son programme Bug Bounty qui offre des primes, « bounty » en anglais, à ceux qui identifient des failles sur ses services et applications. Depuis, le réseau social a distribué pas moins de six millions de dollars.

Suite aux nombreux scandales qui ont terni la réputation de Facebook, le géant américain a décidé d’accélérer la cadence pour protéger ses données et redorer sa réputation. Après avoir doublé les sommes allouées en avril, l’entreprise a annoncé lundi 17 septembre élargir cette traque aux applications tierces et sites internet qui demandent aux utilisateurs de s’identifier via leur compte Facebook.

« Nous voulons prendre notre part dans la protection des informations des utilisateurs, même lorsque la source d’un bug n’est pas sous notre contrôle direct », a indiqué Dan Gurfinkel, responsable de l’ingénierie de sécurité du groupe, lors de l’annonce.

A la chasse aux bugs

Facebook souhaite investir davantage de moyens pour assurer la sécurité et le bon fonctionnement des applications tierces et services web utilisant son outil d’identification. Le géant veut notamment s’assurer que ces entreprises n’utilisent pas de données personnelles sans le consentement des membres du réseau social.

Lorsqu’un bug sera révélé, Facebook collaborera avec l’application ou le site concerné afin de trouver une solution le plus rapidement possible. Si les entreprises responsables de ces applications ou services venaient à refuser de régler le problème, Facebook suspendrait alors leur activité de la plateforme. Le géant américain assure de plus qu’il préviendrait les membres concernés par le bug.


Lire aussi : Certaines entreprises disent non au RGPD… et au marché européen

Facebook a annoncé une récompense de minimum 500 dollars par bug accepté. Il ne s’agit là que d’un minimum, le géant est prêt à dépenser bien plus en fonction de l’importance et de la gravité des bugs. Lors de la première phase du programme, l’entreprise a d’ailleurs versé des récompenses atteignant 40 000 dollars, alors que la moyenne des récompenses pour 2017 était de 1 900$ par bug.

Une activité lucrative

Facebook est loin d’être la seule entreprise à faire appel aux services de white hats, l’essentiel des grands réseaux sociaux et concepteurs de logiciels américains ont, en effet, créé leurs propres programmes. Logiquement, le nombre de hackers bienveillants, attirés par les montants des récompenses, a explosé et plusieurs plateformes ont été créées pour les mettre en contact avec les entreprises, rappelle la newsletter tech Planet. L’entreprise Bugcrowd, créée en 2011, a déjà lancé 700 programmes et versé 12 millions de dollars en prime. HackerOne, sa jumelle, se targue de réunir plus de 200 000 hackers éthiques et a levé 74 millions de dollars. La toute récente Federacy cherche, quant à elle, à rendre les services de ces chasseurs de primes disponibles même aux plus petites startups.

Tous les hackers éthiques ne font pas fortune, après tout les récompenses varient en fonction des moyens et de la générosité des entreprises mais surtout de l’importance des problèmes rapportés. Néanmoins, ces chasseurs de failles sont déjà parmi les mieux payés des travailleurs indépendants, rappelle Planet. Certains hackeurs engrangent même plus d’argent que les ingénieurs qui développent les logiciels, ce qui inquiète les spécialistes. L’envie de se lancer est telle qu’elle que Bugcrowd vient de lancer sa Bugcrowd University pour former toujours plus de hackers éthiques.

Mais dans quelle légalité ?

Mais doit-on vraiment encourager le développement des hackers éthiques ? Après tout, peut-on laisser des personnes violer les lois anti-hacking sous prétexte qu’elles ont été violées avec une bonne intention ? La France a tranché depuis le vote de la loi sur l’économie numérique (la LCEN) en 2004 : le fait de divulguer publiquement sur Internet des vulnérabilités accompagnées de code d’exploitation est interdit, tout comme le fait de posséder des outils permettant le hacking.

Aux Etats-Unis, les textes sont un peu plus flous. Confronté à la question du respect des lois par Wired, Dan Gurfinkel a répondu que Facebook gérerait les bugs détectés par des techniques invasives au cas-par-cas. « Si une application tierce permet les tests par des développeurs à travers des programmes de bug bounty ou d’autres arrangements, alors le chercheur de bug peut signaler la vulnérabilité à l’entreprise », a-t-il précisé. « C’est à lui de s’assurer que ses tests ne violent pas les conditions générales de l’application et les lois en vigueur ».


Lire aussi : Protection des données personnelles, demande de rançons, développement de l’IA : le nouveau visage de la cybersécurité

Pour éviter cette situation floue, la startup BugCrowd s’est récemment associée avec le chercheur Amit Elazari pour lancer disclose.io, un espace de travail réglementaire pour ces white hats. Il fournira une autorisation explicite aux travailleurs leur permettant d’utiliser des techniques qui auraient sans cette autorisation préalable violé les lois.

Ce projet arrive à point. Encadrer les activités de bug bounty devient une urgence étant donné l’intensification des cyberattaques et de la recherche de failles des grands sites.

Image par Andras Vas

La rédaction HOW

par L'ADN

Linkedin

A lire aussi

La communauté des leaders de l'innovation

Innovating in good company

Rejoignez-nous