Pour améliorer encore et toujours la sécurité d’un logiciel, d’un site web ou d’un système d’information, la seule compétence de l’entreprise en charge de son développement ne suffit pas toujours. L’aide extérieure, souvent des chercheurs indépendants, est de plus en plus recherchée. Cela permet aux sociétés de s’adjoindre de nouveaux talents afin de combler le plus rapidement possible la moindre faille découverte.
Premier réseau social en nombre d’inscrits, Facebook a manifesté un intérêt certain pour cette approche en matière de sécurité. D’après Softpedia, le site communautaire américain songe à mettre en place un programme visant à récompenser financièrement les chercheurs qui découvriraient des faiblesses sur le site. L’objectif étant pour Facebook de proposer un service toujours plus sûr tout en se tenant à distance d’éventuelles polémiques.
Contrairement à d’autres sociétés ou services, Facebook est pour une politique de divulgation responsable. Le site demande d’abord à l’expert de signaler le problème en question aux équipes en charge du développement du site avant de révéler la faille au grand public. Le réseau social indique qu’il ne poursuivra aucun chercheur qui a repéré une faille et a laissé un délai raisonnable aux développeurs pour la combler.
La prime à la faille n’est pas une pratique récente. Elle existe depuis de nombreuses années et est appliquée par des entreprises plus ou moins connues. C’est le cas de Google qui propose un chèque de 3 133,7 dollars pour toute faille repérée dans son navigateur web, Chrome. La fondation Mozilla a également mis un système de récompense, où chaque faille critique découverte donne droit à une prime de 3 000 dollars.
L’appât financier a un double avantage. Elle empêche d’une part les chercheurs en sécurité de garder des failles sous le coude pour ensuite concourir dans des compétitions (Pwn2Own par exemple) et gagner des prix. Elle permet d’autre part, grâce à la politique de divulgation responsable, de gérer la découverte des failles en poussant les experts à communiquer leurs travaux aux équipes responsables, en tout confidentialité.
+ rapide, + pratique, + exclusif
Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.
Découvrez les nombreux avantages de Numerama+.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.