facebook bugChères lectrices, chers lecteurs,

Si vous êtes nostalgiques des bon vieux westerns, et que vous rêviez de partir à la chasse aux truands, je ne vous apprendrais pas qu’il est trop tard. Par contre, si vous êtes réellement doués en informatique et (très) doué dans la recherche de bugs, alors sachez que le plus grands réseau social au monde vient d’embaucher des chasseurs de bugs. Zoom sur une info du far-west moderne.

Près de 40 000 dollars déjà versés

Incroyable: trois semaines après le lancement officiel de son programme rémunéré de recherches de bugs (page officielle), Facebook aurait déjà versé près de 40 000 dollars aux “chercheurs de bugs”. L’un d’entre eux aurait d’ailleurs déjà touché près de 7000 dollars pour avoir signalé près de six failles de sécurité, un élément crucial pour un réseau social planétaire. Si vous faîtes un tour sur la page officielle, la communauté du “bug bounty program” semble déjà très active, et les commentaires vont bon train, quotidiennement. Sur cette page, Facebook tient même a remercier les personnes ayant signalé les failles de sécurité.

Un système déjà connu dans le milieu IT

Le système de rémunérer des chercheurs de failles ou de bugs applicatifs était jusqu’à présent pratiquer dans le monde des éditeurs de logiciels. Concernant le développement et la fiabilisation de son navigateur Chrome, Google a déjà versé en 2011 près de 100 000 dollars aux personnes ayant apportées contribution. Dans le même genre, Mozilla propose le même style programme pour les bugs concernant Firefox ou Thunerbird (la messagerie Mozilla pour ceux qui ne connaissent pas).

Seul Microsoft semble faire route à part dans le domaine, puisque le signalement des failles n’est pas récompensé. Cependant, la firme organise des concours rémunérés sur des créations de logiciels secondaires (One Care par exemple), et rémunère également les personnes dénonçant les créateurs de virus.

Des rémunérations remises en cause par les experts

Quand Facebook propose 500 dollars pour des failles simples, et même si les montants peuvent être supérieurs pour des failles critiques de sécurité, certaines experts jugent ces niveaux de rémunération trop faibles, par rapport au gain financier qu’il rapporte directement au réseau social. En effet, sur le marché noir de la sécurité informatique, certains hackers vendent leurs failles à des personnes souhaitant les exploiter à des niveaux de transactions beaucoup plus élevés.

En conclusion, ces systèmes de rémunération des nouveaux chercheurs de failles semble être, en temps de crise, un bon plan pour mettre du beurre dans les épinards, et évite, comme certains ont pu en faire les frais dans le passé, des mises en examen pour tentative de “hack” des systèmes.

Amicalement,

Yvan Dupuy