Lors du Usenix Security Symposium, qui se tient du 12 au 14 août à Washington, Facebook a remis un prix de 100 000 dollars à une équipe de chercheurs de l’université Georgia Tech. Le réseau social double ainsi la prime qu’il accordait aux chasseurs de bugs dans le cadre de son concours baptisé Internet Defense Prize. Les récompenses à 6 chiffres restent l’exception dans les programmes de chasse aux bugs que mettent en place les éditeurs. Seul Microsoft semble à ce jour se montrer plus généreux, avec 200 000 $ de récompense accordée à un chercheur dans le cadre de son Blue Hat Prize (mais c’était en 2012). Le premier éditeur mondial vient également de passer à 100 000 $ maximum la prime associée à son programme au long cours de ‘bug bounty’.
Dans un article de recherche, les deux doctorants de Georgia Tech (Byoungyoung Lee et Chengyu Song) retenus par Facebook, épaulés par leurs professeurs Taesoo Kim et Wenke Lee (voir la photo ci-dessus), mettent en évidence une classe émergente de vulnérabilités C++ (Type Casting Verification), aboutissant à des phénomènes de corruption de la mémoire. Ils fournissent aussi un outil de détection (CaVeR) de ces failles. Outil qui a déjà permis de découvrir deux failles dans Firefox et neuf autres dans libstdc++, la librairie C++ standard utilisée notamment par Chrome. Ces vulnérabilités ont, depuis, été patchées.
« La recherche en sécurité fait souvent la part belle aux recherches offensives et accorde moins d’attention aux gens effectuant les travaux les plus sérieux, nécessaires pour garder les systèmes sûrs et pour réduire le risque né de classes entières de vulnérabilités », explique Ioannis Papagiannis, responsable de la sécurité de Facebook. Le réseau social indique qu’il espère que le prix permettra aux chercheurs de continuer à améliorer CaVeR et à le rendre accessible et utile à grande échelle. « Ces travaux ciblent un problème de sécurité très concret », exploité par exemple dans un exploit ciblant Chrome en 2013, reprend Ioannis Papagiannis, dans un billet de blog.
Pour le responsable, si Facebook investit tout cet argent dans la recherche en sécurité, c’est avant tout pour des raisons… très pragmatiques. « La raison pour laquelle Facebook a réussi à servir les besoins de près de 1,5 milliard d’individus réside dans notre capacité à introduire et à mettre en œuvre très rapidement des catégories de systèmes et de frameworks qui nous permettent d’éviter, en une fois, des classes entières de vulnérabilités », écrit-il.
A lire aussi :
United Airlines offre 1,8 million de miles aux chasseurs de bugs
Microsoft lance sa chasse aux bugs sur Spartan
Dans l’ombre de Vupen, Zerodium programme les chasseurs de failles zero day
Microsoft affirme que l'accord européen de 2009 a donné à CrowdStrike les clés du noyau…
Déjà Président du conseil d'administration, l'ex banquier Jean-Pierre Mustier est nommé directeur général d'Atos. Il…
Le Financial Times rapporte qu'OpenAI était en pourparlers avec des concepteurs de semi-conducteurs, dont Broadcom,…
En première ligne pour subir les cyberattaques, les TPE/PME sont aussi les moins bien formées…
La Cour des comptes estime que la Dinum doit construire sa légitimité, autant au vu…
La Cour des comptes pointe les « résultats contrastés » de la Dinum sur son…