Facebook : il pirate le compte de Zuckerberg pour signaler une faille de sécurité
et perd au passage sa récompense
Aucun logiciel informatique n’est exempt de bogues et il n’existe pas de sécurité parfaite. Les grosses firmes informatiques comme Google ou encore Facebook dépensent des sommes importantes dans des programmes permettant aux hackers de révéler des vulnérabilités qu’ils auraient découvertes dans leurs produits.
Khalil Shreateh est le chercheur en sécurité d’origine palestinienne qui a découvert une vulnérabilité dans le célèbre réseau social, permettant à un hacker de poster des messages sur le mur privé de ses victimes sans pour autant être dans leur liste d’amis.
Le chercheur, plusieurs fois, a contacté les ingénieurs responsables de la sécurité de Facebook, sans succès. « Nous sommes désolés, mais ceci n’est pas un bogue », recevra-t-il comme réponse de ceux-ci.
Pour se faire entendre, il a dû poster, sur le mur privé de Mark Zuckerberg, un message dans lequel il présente la vulnérabilité et explique ses déboires avec l’équipe de sécurité.
Il finit par avoir gain de cause. La vulnérabilité a été corrigée. Cependant, Facebook refuse de l’indemniser parce qu’il n’aurait pas respecté les termes de la politique de divulgation des vulnérabilités de l’entreprise. Khalil aurait posté des messages sur des murs privés d’utilisateurs sans leurs permissions.
D’après Matt Jones, ingénieur en sécurité chez Facebook, pour divulguer une faille, il faut dans un premier temps avoir un compte de «white Hat» (chercheur en sécurité qui rend publiques les failles des logiciels) et ensuite pour le «Proof of Concept» (démonstration de la vulnérabilité), ne pas se servir de comptes réels d’utilisateurs sans leur permission.
Source : BBC
Et vous ?
Êtes-vous d'accord avec Facebook dans sa décision de ne pas rémunérer le chercheur ? Pourquoi ?
Partager