Depuis 2011, Facebook a dépensé plus de 4,3 millions de dollars dans son programme de chasse aux bugs. Plus de 2400 vulnérabilités ont pu être corrigées par ce canal.

On peut être une entreprise pesant plusieurs milliards de dollars et avoir quand même besoin d’un coup de main pour protéger ses activités. Facebook pourrait en témoigner sans l’ombre d’une hésitation. Malgré des ressources colossales et une horde d’ingénieurs et de techniciens à sa disposition, le réseau social doit parfois compter sur une aide extérieure pour améliorer sa sécurité.

Et cette aide n’est pas gratuite.

facebook-app-1200.jpg

Trouver les failles, dès l’écran de connexion.

Depuis la mise en place de son programme de chasse aux bugs à l’été 2011, le site communautaire a dépensé pas moins de 4,3 millions de dollars (soit environ 3,8 millions d’euros) pour récompenser ceux qui lui signalent des failles et des bugs de façon responsable. Un prix qui n’est pas très cher payé vu le nombre de vulnérabilités qui ont pu être corrigées grâce à ce système.

En effet, cela fait une moyenne de 1791 dollars (1603 euros environ) par vulnérabilité. Cela n’est guère élevé au regard des moyens financiers de Facebook, mais visiblement cela ne dissuade pas les chercheurs de continuer à participer au programme. Au total, plus de 800 personnes ont touché une récompense.

[floating-quote float= »right »]2400 failles repérées depuis 2011.[/quote]

En l’espace de quatre ans et demi, ce sont en effet plus de 2400 vulnérabilités qui ont été signalées à Facebook, indique Reginaldo Silva, un ingénieur chargé de travailler sur la sécurité du site, cité par The Register. Des brèches dont la criticité est variable, et qui incluent les traditionnelles failles XSS (cross-site scripting) et XSRF (cross-site request forgery).Celles-ci deviennent toutefois plus difficiles à dénicher avec le temps, selon Reginaldo Silva, ce qui incite les chercheurs en sécurité à s’intéresser à d’autres aspects de la sécurité du réseau social, dont sa logique métier. Cela permet au site « d’appliquer des règles à son code et d’éliminer à cette occasion des classes entières de vulnérabilités », précise The Register.

Par ailleurs, la qualité des signalements produits par les experts a grandement progressé avec le temps, qu’il s’agisse du descriptif détaillé du bug et des conséquences potentielles pour les utilisateurs que des étapes à accomplir afin que les développeurs du réseau social puissent le reproduire et ainsi trouver la meilleure parade à adopter.

L’intérêt de ce programme est donc évident. Et surtout, il incite les découvreurs de failles à prendre contact avec les développeurs du réseau social pour toucher une prime, ce qui réduire le risque de voir des brèches être divulguées dans des concours de hack ou sur Internet. Cela a évidemment un coût (raisonnable) pour Facebook. Mais la sécurité de ses utilisateurs est à ce prix.

Pour ne rien manquer de l’actualité de Facebook, abonnez-vous à notre newsletter !

Découvrez les bonus

+ rapide, + pratique, + exclusif

Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.

Découvrez les nombreux avantages de Numerama+.

S'abonner à Numerama+

Vous avez lu 0 articles sur Numerama ce mois-ci

Il y a une bonne raison de ne pas s'abonner à

Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.

Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :

  • 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
  • 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
  • 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.

Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.

S'abonner à Numerama+

Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.