Le réseau social a ainsi déjà dépensé 40000 dollars au cours des 21 premiers jours de son programme destiné à encourager les chercheurs en sécurité informatique à découvrir toutes ses vulnérabilités.

Ce "bug bounty" rémunère chaque découverte entre 500 et 5000 dollars, en fonction de son importance. Un chercheur a ainsi touché plus de 7000 dollars pour avoir signalé six brèches sérieuses sur le site.

Le programme aide Facebook à être plus sécurisé et à se confronter à de "nouveaux vecteurs d'attaques", tout en aidant à améliorer son code.

En effet, depuis sa création, le réseau social a été la cible de nombreux cyber-criminels et vandales qui ont utilisé contre lui une grande variété d'attaques très différentes les unes des autres (pour voler des données, promouvoir de faux produits, etc.).

Depuis plusieurs mois, l'entreprise de Mark Zuckerberg avait mis en place des équipes internes chargées de débusquer les bogues ; et employait des auditeurs externes pour réaliser des "bug-a-thons" à la recherche d'erreurs.

Payer des chercheurs en informatique découvrant des failles était d'une certaine façon la suite logique des opérations. Surtout que d'autres entreprises, comme Google ou Mozilla, ont déjà testé de type de système, et cela s'est révélé très utile pour elles.

Malgré tout, certains spécialistes disent que cette méthode est à double tranchant, car le découvreur d'une faille importante pourrait parfois gagner plus en la revendant sur le marché noir, plutôt qu'en touchant la récompense offerte par Facebook.

Malheureusement, ce programme ne concerne pas les applications tierces, "le plus gros problème rencontré par les utilisateurs", d'après un chercheur en sécurité informatique. En effet, aucune récompense ne félicite la découverte d'une application tierce frauduleuse, ou d'une fausse publicité liant à un programme malveillant. Pour lui, Facebook ne devrait autoriser l'accès à son site qu'à un parc d'applications approuvées par des membres de son staff.




Noter cet article (de 1 = Nul à 5 = Excellent) Valider

Dossier

Droit d’accès et comptes à privilèges

Jacques Cheminat 0 144310
Equifax, Deloitte, Uber, les récentes violations de données ont souvent des techniques de piratages différentes, mais un élément commun, obtenir l’accès à des applications critiques comme les bases de données, les bases clients, les informations bancaires. En général ces programmes sont soumis à habilitation et rattachés à des comptes à privilèges. leur protection est donc une nécessité dans un monde de plus en plus ouvert et insécurisé. Dossier publié avec le concours de Kleverware.
RSS
12



Événements SSI