Facebook paie 40.000 dollars pour assurer sa sécurité

La sécurité a un prix. Qui s’élève à plus de 40.000 dollars pour Facebook, à ce jour. Il y a trois semaines, le réseau social lançait son Bug Bounty Program, un programme visant à récompenser financièrement les chasseurs de bugs, extérieurs à l’entreprise de Mark Zuckerberg. Une manière de renforcer la sécurité des applications en faisant appel à la communauté pour dénicher les bugs. Facebook s’engageant ainsi à verser un minimum de 500 dollars par bug « qui pourrait compromettre l’intégrité ou le caractère privé des données utilisateurs ».

Et visiblement, nombre de failles de sécurité ont été trouvées puisque le montant des primes versées s’élève déjà à 40.000 dollars en une vingtaine de jours. Une cinquantaine de développeurs issus de 16 pays, dont la Pologne et la Turquie, ont participé à la chasse aux vulnérabilités. L’un deux a même reçu 7000 dollars pour six failles mises en lumière, précise le responsable de la sécurité de Facebook Joe Sullivan. Failles rapidement comblées en théorie. « Le programme est formidable car il permet de rendre notre site plus sûr – en supervisant les grands et petits problèmes, en nous introduisant à de nouveaux vecteurs d’attaque, et en nous aidant à améliorer beaucoup notre approche du code », poursuit le responsable. Néanmoins, le nombre de failles trouvées, et leur nature, n’est pas précisé.

Rappelons que le programme de recherche de bugs ne s’applique qu’à l’application Facebook, pas à la plate-forme qui intègre les applications et sites tiers. « Impossible, selon Joe Sullivan, parce que cela implique des centaines de milliers de services Internet indépendants ». Tout en assurant « se soucier profondément de la sécurité sur la plate-forme » grâce à une équipe dédiée qui scrute et audite la sécurité de ces partenaires. Facebook a notamment mis en place une batterie d’outils qui détectent et éliminent les applications malintentionnées.

Il n’en reste pas moins que, face à la complexité des programmes informatiques, la méthode humaine pour dénicher des trous de sécurité reste visiblement la plus efficace à ce jour. Surtout quand elle est motivée par la couleur de l’argent. Et, dans ce cadre, Facebook rejoint les initiatives similaires de Google sur Chrome ou encore Mozilla, notamment. C’est aussi un moyen de contrôler la fuite des informations de sécurité que les développeurs pourraient être tentés de diffuser sur le web s’ils ne s’engageaient pas dans ce type de programme rémunéré. Une approche dont l’efficacité est notamment encouragée par l’EFF (Electronic Frontier Foundation), le groupe de défense des droits des individus face aux technologies numériques.