Facebook a publié vendredi une série d’informations concernant son programme de traque des bugs. La société offre en effet depuis deux ans maintenant des récompenses à tous ceux qui mettent le doigt sur un problème affectant la sécurité. Une communication qui arrive en des temps troublés, entre protection de la vie privée et scandale du programme de surveillance Prism.
Facebook a désormais à cœur de communiquer sur les efforts réalisés pour protéger les utilisateurs. La compromission des comptes, l’attention grandissante portée sur le respect de la vie privée ainsi que les scandales actuels sur l’espionnage ont accru la pression sur les réseaux sociaux, détenteurs de nombreuses données personnelles. Pour la firme, cela passe notamment par une série de statistiques sur son programme de récompenses, destiné à ceux qui débusquent des failles de sécurité.
Jusqu'à 20 000 dollars pour une seule faille
Ainsi, depuis deux ans que ce programme est en place, 329 personnes ont reçu une récompense financière. La plus grande d’entre elles, attribuée en une seule fois, est de 20 000 dollars, même si certains chercheurs en sécurité ont déjà empoché plus de 100 000 dollars via diverses récompenses cumulées. Pour autant, les chercheurs ne représentent pas la majorité et on trouve par exemple de nombreux étudiants. On sait également que la plus jeune personne à avoir touché une récompense avait 13 ans et que deux récompensés ont depuis rejoint l’équipe de sécurité de Facebook. Au total, ce sont plus d'un million de dollars qui ont été distribués.
Les failles sont selon le réseau social de tous types et de divers niveaux de gravité. La société donne l’exemple d’un problème intervenu à l’intersection de deux fonctionnalités. D’une part, le fonctionnement d’un groupe : quand il ne reste plus qu’un membre, ce dernier se voit attribuer le rôle d’administrateur. De l’autre, le blocage d’un contact : une fonction puissante qui rompt tout contact et empêche l’autre de récupérer notamment les communications privées. La faille permettait à un utilisateur de se rendre maître d’un groupe en le rejoignant puis en bloquant chaque personne qui en faisait partie, Facebook lui octroyant alors le rôle d’administrateur.
Impact et documentation
Les États-Unis sont en tête du classement pour les récompenses distribuées, avec 20 % des sommes perçues. Pourtant, l’Inde est deuxième, suivie du Royaume-Uni, de la Turquie et de l’Allemagne. Facebook note également que certains pays présentent un accroissement rapide du nombre de récompensés : États-Unis, Inde, Turquie, Canada, Allemagne, Pakistan, Égypte, Brésil, Suède et Russie.
Enfin, l’entreprise révèle les quatre critères sur lesquels elle base ses décisions, avec en tout premier lieu l’impact et donc la manière dont la faille se manifeste : effacement de données, modifications arbitraires d’informations sur un compte, capacité de faire exécuter un code JavaScript extérieur et ainsi de suite. Vient ensuite la qualité de la communication, autrement dit la manière dont le découvreur de la faille la renseigne : détails, procédure pour l’exploiter, proof of concept, etc. Les deux derniers critères sont les cibles (site, applications mobiles, Instagram, etc.) ainsi que les bugs éventuels supplémentaires qui pourraient être mis à jour durant l’enquête. Plus cette dernière révèle d’autres problèmes cachés, plus la récompense est grande.