Facebook : la découverte de failles bientôt rémunérée ?

0
63

Facebook réfléchit à la mise en place d’un programme visant à rémunérer la découverte responsable de failles de sécurité. Comme Mozilla ou Google, le réseau social versera une prime aux chercheurs permettant d’améliorer la sécurité du site.

Pour améliorer encore et toujours la sécurité d’un logiciel, d’un site web ou d’un système d’information, la seule compétence de l’entreprise en charge de son développement ne suffit pas toujours. L’aide extérieure, souvent des chercheurs indépendants, est de plus en plus recherchée. Cela permet aux sociétés de s’adjoindre de nouveaux talents afin de combler le plus rapidement possible la moindre faille découverte.

Premier réseau social en nombre d’inscrits, Facebook a manifesté un intérêt certain pour cette approche en matière de sécurité. D’après Softpedia, le site communautaire américain songe à mettre en place un programme visant à récompenser financièrement les chercheurs qui découvriraient des faiblesses sur le site. L’objectif étant pour Facebook de proposer un service toujours plus sûr tout en se tenant à distance d’éventuelles polémiques.

Contrairement à d’autres sociétés ou services, Facebook est pour une politique de divulgation responsable. Le site demande d’abord à l’expert de signaler le problème en question aux équipes en charge du développement du site avant de révéler la faille au grand public. Le réseau social indique qu’il ne poursuivra aucun chercheur qui a repéré une faille et a laissé un délai raisonnable aux développeurs pour la combler.

La prime à la faille n’est pas une pratique récente. Elle existe depuis de nombreuses années et est appliquée par des entreprises plus ou moins connues. C’est le cas de Google qui propose un chèque de 3 133,7 dollars pour toute faille repérée dans son navigateur web, Chrome. La fondation Mozilla a également mis un système de récompense, où chaque faille critique découverte donne droit à une prime de 3 000 dollars.

L’appât financier a un double avantage. Elle empêche d’une part les chercheurs en sécurité de garder des failles sous le coude pour ensuite concourir dans des compétitions (Pwn2Own par exemple) et gagner des prix. Elle permet d’autre part, grâce à la politique de divulgation responsable, de gérer la découverte des failles en poussant les experts à communiquer leurs travaux aux équipes responsables, en tout confidentialité.

 

Source : Numerama