Facebook récompense les chasseurs de bogues, une prime de 500 $ pour chaque vulnérabilité découverte

Idelways · 01/08/2011, 22h50

Facebook récompense les chasseurs de bogues
Une prime de 500 $ pour chaque vulnérabilité XSS, CSRF et par injection de code découverte

500 dollars américain, est la prime que l'on recevra pour chaque vulnérabilité découverte sur la plateforme de Facebook, le numéro un mondial des réseaux sociaux.

Cette récompense, officiellement destinée à « montrer sa reconnaissance aux chercheurs en sécurité », ne sera versée que si son découvreur respecte à la lettre la « politique de divulgation responsable » qui exige notamment qu'un « temps raisonnable » soit accordé à l'entreprise avant de rendre publics les détails de la faille.

En outre, le découvreur devra faire preuve « de bonne foi » pour éviter toute violation de la vie privée, la destruction des données ou la dégradation du service durant le processus de découverte et de preuve de faisabilité.

Les bogues concernés doivent être tout de même assez sérieux, au point de compromettre l'intégrité ou la confidentialité des données des utilisateurs du réseau social. Les vulnérabilités admises se limiteront aux types Cross-Site Scripting (XSS), Cross-Site Request Forgery (CSRF/XSRF) et les attaques par injection distante de code.

Facebook rejoint donc le club de plus en plus tendance des entreprises qui récompensent les « gentils hackers » pour leur découverte. Google et Mozilla sont les précurseurs du domaine parmi les grands acteurs du Web, bien que leurs primes soient nettement plus alléchantes que celle de Facebook.

Que Facebook lésine sur le montant de ses primes est-il pour autant une preuve que son code est potentiellement criblé de failles ? Cette chasse aux bogues nous le fera bientôt savoir.

Ce programme est en tout cas déjà critiqué, par Sophos notamment, la sécurité de Facebook pouvant être améliorée via trois points n'ayant aucun lien avec la recherche de vulnérabilités :

Mise en place du "HTTPS Everywere",
Contrôler les développeurs d'application,
Ne pas diffuser d'informations privées par défaut.

D'autres détracteurs diront qu'au prix d'un audit de sécurité, ce programme est un bon moyen d'obtenir des audits à bas coûts.

Source : Facebook, Sophos

Et vous ?

Que pensez-vous de cette chasse aux primes et de ce mode de détection des bogues ?

Co-écrit avec CervoiseMD

kolodz · 01/08/2011, 23h20

Lors ce que Mozilla à lancer l'histoire des primes, je me suis dit :

Citation:

C'est cool venant de la part d'une fondation qui doit faire attention à son budget

Pour google, je n'étais pas au fait...

Pour ce qui est de facebook, personnellement, je ne sais pas si c'est :
- Une mise à niveau dans la guerre d'image Facebook vs Google.
- Un besoin pour se prémunir du cyber-activisme qu'il y a en ce moment.
- Une volonté d'aller dans le bon sens des dirigeants de FaceBook.

Pour les 500$, c'est pour une prime "normal"

Citation:

A typical bounty is $500 USD

Reste à savoir comment serai gérer une faille exceptionnel.
Si j'étais chargé de communication à la première vraie grosse faille, je sors le chéquier, je lâche une somme assez raisonnable.
Et on en discutera dans tout les bon forum...

Pour le coup, c'est une opération gagnant-gagnant pour FaceBook.

Citation:

Que pensez-vous de cette chasse aux primes et de ce mode de détection des bogues ?

Même si le processus reste au niveau de la détection.
Cela est toujours très largement moins cher que de payer un ingénieur pour ce travail.
Et il n'y a pas des millions de failles à détecter...

Jonas0122 · 02/08/2011, 00h08

500$.. tellement peu, avec ce genre de failles un hacker peux récupérer facilement de quoi se faire 10x cette somme..

Kiiwi · 02/08/2011, 00h14

Je préfère de loin cette méthode de compensation continue des bogues trouvés, que le système "concours" (comme par exemple le dernier sur les failles de sécurités d'Android), qui incite à garder une faille de sécurité pour soi jusqu'au début du concours.

ludojojo · 02/08/2011, 09h10

Citation:

D'autres détracteurs diront qu'au prix d'un audit de sécurité, ce programme est un bon moyen d'obtenir des audits à bas coûts.

C'est surtout un bon business plan !

500$ Par faille trouvée, c'est plus rapide et plus performant que de payer quelqu'un à le faire! De plus cela permet d'avoir une multitude d'approches différentes, ce qu'une seule personne ne pourrait faire.

De ce point de vu, FB est très fort ! Une fois encore...

Citation:

Que Facebook lésine sur le montant de ses primes est-il pour autant une preuve que son code est potentiellement criblé de failles ? Cette chasse aux bogues nous le fera bientôt savoir.

C'est fort probable, car si le code était sûr, il pourrait faire monter les enchères pour attirer plus de monde... Il ne s'agit peut être que d'une première phase avec une augmentation plus tard.

supertonic · 02/08/2011, 10h16

Waouwe ! Mais quelle générosité !

kdmbella · 02/08/2011, 11h20

Que pensez-vous de cette chasse aux primes et de ce mode de détection des bogues ?

ce mode de détection des failles est non seulement un moyen économique d'évaluer la robustesse de facebook mais aussi de découvrir les hackers les plus avisés que facebook poura intégrer dans son équipe de développement.
De plus étant donnée que ces hackers cherches aussi à se faire un peu de blé ils seront plus motivé à bosser dans cette optique.

Jean-Loup Richet · 02/08/2011, 11h39

Citation:

500$.. tellement peu

Citation:

Waouwe ! Mais quelle générosité !

Vous abusez un peu là

Certes, le prix d'un audit pro est très loin de la centaine de dollars, et 500$, c'est l'équivalent de 2j de salaire d'un développeur à 45k$. Donc peu de choses au final. Mais l'objectif de Facebook est celui d'un 'crowdsourcer' : compter sur le nombre pour corriger des failles, et faire appel aux chercheurs SSI débutants ou 'loisirs'. Bien sûr que c'est peu comparé au salaire d'un professionnel, mais pour un étudiant en informatique ou un professionnel de la sécurité qui chasse pendant son temps libre, cela permettra de payer un bon resto :-)

kdmbella · 02/08/2011, 13h18

je pense également que les principalles vulnérabilités de facebook proviennent des applications tiers et pour s'en prémunir il devrait avoir un système de validation des applications vraiment performant.

trashyquaker · 02/08/2011, 17h25

Citation:

Certes, le prix d'un audit pro est très loin de la centaine de dollars, et 500$, c'est l'équivalent de 2j de salaire d'un développeur à 45k$.

Aux US, un développeur se prends 75/80k$ à la sortie de l'école...

Ça permet tout simplement de payer au résultat et non au temps de travail. De plus cela permet de placer x développeurs sur le même bug, et de payer seulement le plus rapide d'entre eux...

Vraiment le bon plan pour un employeur!

Mohamed EL Béji · 03/08/2011, 09h10

Bonjour !
Est si je trouve une faille je l'envoi à qui ... précisément à quelle email

Kiiwi · 03/08/2011, 13h42

https://www.facebook.com/whitehat/bounty/

https://www.facebook.com/whitehat/report/

voila Mohamed EL Béji

Mishulyna · 03/08/2011, 16h04

Citation:

Envoyé par Jonas0122

500$.. tellement peu, avec ce genre de failles un hacker peux récupérer facilement de quoi se faire 10x cette somme..

http://www.minutebuzz.com/2011/06/28...-par-facebook/
Prenez les 500$ si l'occasion se présente, bonne chance!

01/08/2011, 22h50	#1
Idelways Coordinateur publications Développeur Ruby on Rails / iOS et journaliste Inscription : juin 2010 Messages : 1 105 Détails du profil Informations professionnelles : Activité : Développeur Ruby on Rails / iOS et journaliste Informations forums : Inscription : juin 2010 Messages : 1 105 Points : 24 231 Points : 24 231	Facebook récompense les chasseurs de bogues, une prime de 500 $ pour chaque vulnérabilité découverte Facebook récompense les chasseurs de bogues Une prime de 500 $ pour chaque vulnérabilité XSS, CSRF et par injection de code découverte 500 dollars américain, est la prime que l'on recevra pour chaque vulnérabilité découverte sur la plateforme de Facebook, le numéro un mondial des réseaux sociaux. Cette récompense, officiellement destinée à « montrer sa reconnaissance aux chercheurs en sécurité », ne sera versée que si son découvreur respecte à la lettre la « politique de divulgation responsable » qui exige notamment qu'un « temps raisonnable » soit accordé à l'entreprise avant de rendre publics les détails de la faille. En outre, le découvreur devra faire preuve « de bonne foi » pour éviter toute violation de la vie privée, la destruction des données ou la dégradation du service durant le processus de découverte et de preuve de faisabilité. Les bogues concernés doivent être tout de même assez sérieux, au point de compromettre l'intégrité ou la confidentialité des données des utilisateurs du réseau social. Les vulnérabilités admises se limiteront aux types Cross-Site Scripting (XSS), Cross-Site Request Forgery (CSRF/XSRF) et les attaques par injection distante de code. Facebook rejoint donc le club de plus en plus tendance des entreprises qui récompensent les « gentils hackers » pour leur découverte. Google et Mozilla sont les précurseurs du domaine parmi les grands acteurs du Web, bien que leurs primes soient nettement plus alléchantes que celle de Facebook. Que Facebook lésine sur le montant de ses primes est-il pour autant une preuve que son code est potentiellement criblé de failles ? Cette chasse aux bogues nous le fera bientôt savoir. Ce programme est en tout cas déjà critiqué, par Sophos notamment, la sécurité de Facebook pouvant être améliorée via trois points n'ayant aucun lien avec la recherche de vulnérabilités : Mise en place du "HTTPS Everywere", Contrôler les développeurs d'application, Ne pas diffuser d'informations privées par défaut. D'autres détracteurs diront qu'au prix d'un audit de sécurité, ce programme est un bon moyen d'obtenir des audits à bas coûts. Source : Facebook, Sophos Et vous ? Que pensez-vous de cette chasse aux primes et de ce mode de détection des bogues ? Co-écrit avec CervoiseMD
	20

02/08/2011, 00h14	#4
Kiiwi Membre Expert Inscription : février 2011 Messages : 362 Détails du profil Informations forums : Inscription : février 2011 Messages : 362 Points : 1 229 Points : 1 229	Je préfère de loin cette méthode de compensation continue des bogues trouvés, que le système "concours" (comme par exemple le dernier sur les failles de sécurités d'Android), qui incite à garder une faille de sécurité pour soi jusqu'au début du concours. __________________ Pour ceux qui sont satisfaits des résultats de recherche de Bing: J'ai découvert un moteur de recherche "solidaire", http://ecosia.org , qui affiche les mêmes résultats de Bing, mais dont les revenus générés sont reversés à l'association WWF pour la protection des forêts tropicales. Le nombre de caractères étant limités dans les signatures, je ne peux vous en dire plus, je vous invite à lire http://ecosia.org/how.php pour bien comprendre le fonctionnement d'Ecosia. (autres moteurs de recherche similaires http://fr.wikipedia.org/wiki/Liste_d...che#Solidaires
	30

02/08/2011, 11h20	#7
kdmbella Membre Expert Demazy Mbella Développeur Web Inscription : août 2010 Messages : 620 Détails du profil Informations personnelles : Nom : Demazy Mbella Localisation : Cameroun Informations professionnelles : Activité : Développeur Web Secteur : High Tech - Produits et services télécom et Internet Informations forums : Inscription : août 2010 Messages : 620 Points : 1 470 Points : 1 470	Que pensez-vous de cette chasse aux primes et de ce mode de détection des bogues ? ce mode de détection des failles est non seulement un moyen économique d'évaluer la robustesse de facebook mais aussi de découvrir les hackers les plus avisés que facebook poura intégrer dans son équipe de développement. De plus étant donnée que ces hackers cherches aussi à se faire un peu de blé ils seront plus motivé à bosser dans cette optique. __________________ Trois personnes peuvent garder un secret si deux d'entre elles sont mortes. :Benjamin Franklin L'humanité se divise en trois catégories : ceux qui ne peuvent pas bouger, ceux qui peuvent bouger, et ceux qui bougent : Benjamin Franklin Le hasard, c'est le déguisement que prend Dieu pour voyager incognito: Albert Einstein bon je m'arrête là au risque de me faire buter
	01

02/08/2011, 13h18	#9
kdmbella Membre Expert Demazy Mbella Développeur Web Inscription : août 2010 Messages : 620 Détails du profil Informations personnelles : Nom : Demazy Mbella Localisation : Cameroun Informations professionnelles : Activité : Développeur Web Secteur : High Tech - Produits et services télécom et Internet Informations forums : Inscription : août 2010 Messages : 620 Points : 1 470 Points : 1 470	je pense également que les principalles vulnérabilités de facebook proviennent des applications tiers et pour s'en prémunir il devrait avoir un système de validation des applications vraiment performant. __________________ Trois personnes peuvent garder un secret si deux d'entre elles sont mortes. :Benjamin Franklin L'humanité se divise en trois catégories : ceux qui ne peuvent pas bouger, ceux qui peuvent bouger, et ceux qui bougent : Benjamin Franklin Le hasard, c'est le déguisement que prend Dieu pour voyager incognito: Albert Einstein bon je m'arrête là au risque de me faire buter
	11

03/08/2011, 13h42	#12
Kiiwi Membre Expert Inscription : février 2011 Messages : 362 Détails du profil Informations forums : Inscription : février 2011 Messages : 362 Points : 1 229 Points : 1 229	https://www.facebook.com/whitehat/bounty/ https://www.facebook.com/whitehat/report/ voila Mohamed EL Béji __________________ Pour ceux qui sont satisfaits des résultats de recherche de Bing: J'ai découvert un moteur de recherche "solidaire", http://ecosia.org , qui affiche les mêmes résultats de Bing, mais dont les revenus générés sont reversés à l'association WWF pour la protection des forêts tropicales. Le nombre de caractères étant limités dans les signatures, je ne peux vous en dire plus, je vous invite à lire http://ecosia.org/how.php pour bien comprendre le fonctionnement d'Ecosia. (autres moteurs de recherche similaires http://fr.wikipedia.org/wiki/Liste_d...che#Solidaires
	00

02/08/2011, 00h08	#3
Jonas0122 Candidat au titre de Membre du Club Inscription : novembre 2006 Messages : 17 Détails du profil Informations forums : Inscription : novembre 2006 Messages : 17 Points : 10 Points : 10	500$.. tellement peu, avec ce genre de failles un hacker peux récupérer facilement de quoi se faire 10x cette somme..
	00

02/08/2011, 10h16	#6
supertonic Membre habitué Inscription : septembre 2003 Messages : 158 Détails du profil Informations forums : Inscription : septembre 2003 Messages : 158 Points : 139 Points : 139	Waouwe ! Mais quelle générosité !
	11

03/08/2011, 09h10	#11
Mohamed EL Béji Invité régulier Joe Hopkins Étudiant Inscription : avril 2010 Messages : 5 Détails du profil Informations personnelles : Nom : Joe Hopkins Âge : 24 Localisation : Tunisie Informations professionnelles : Activité : Étudiant Informations forums : Inscription : avril 2010 Messages : 5 Points : 7 Points : 7	Bonjour ! Est si je trouve une faille je l'envoi à qui ... précisément à quelle email
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email