IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Actualités Discussion :

Facebook offre une grosse prime à un chercheur

  1. #1
    Expert éminent sénior

    Homme Profil pro
    Étudiant
    Inscrit en
    août 2011
    Messages
    283
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Algérie

    Informations professionnelles :
    Activité : Étudiant
    Secteur : High Tech - Produits et services télécom et Internet

    Informations forums :
    Inscription : août 2011
    Messages : 283
    Points : 18 071
    Points
    18 071
    Par défaut Facebook offre une grosse prime à un chercheur
    Facebook offre une grosse prime à un chercheur
    qui a découvert une faille permettant de prendre le contrôle d’un de ses serveurs

    Reginaldo Silva, chercheur brésilien en sécurité informatique, s’est vu attribuer une coquette somme par Facebook suite à la découverte d’une faille de sécurité, lui permettant de prendre contrôle d’un de ses serveurs et d’accéder à des données sensibles.

    Le brésilien n’en est pas à son premier coup d’essai. Par le passé, il s’était déjà vu attribuer une prime minime de 500 dollars par Google. En effet, depuis 2012, ses travaux de recherche portent sur les vulnérabilités d’un protocole largement utilisé sur Internet, à savoir OpenID , plus spécifiquement sur le bug XML External Entity Expansion (XXE).

    OpenID est utilisé entre autres par Facebook pour permettre à ses utilisateurs de recouvrir leur mot de passe. Pour cela, un serveur de la firme exécutant le service Yadis (Serveur Yadis) se connecte à un provider OpenID (Ex : Google) pour authentifier l’utilisateur.

    C’est dans ce cadre qu’en septembre 2012, les travaux de Silva le conduisent à exploiter la faille XXE pour établir une connexion non autorisée, entre une machine dont il a le contrôle et le serveur Yadis, en se faisant passer pour un provider OpenID authentifié. Après avoir exploité la faille XXE avec succès, à sa grande surprise Silva découvre qu’il est en mesure d’accéder au mot de passe du fichier /etc/passwd, laissant la porte ouverte à une élévation de ses privilèges et au contrôle total du serveur Yadis.

    Aussitôt, il notifie sa découverte à l’équipe de sécurité de Facebook et leur propose une démonstration, toutefois sa demande reste vaine et l’équipe en charge de la sécurité du réseau social publie un correctif dans les 3h30 qui suivent, puis il fut recontacté pour démontrer la démarche qui lui aurait permis de prendre le contrôle du serveur.

    Vu l’ampleur de la brèche de sécurité et suite à la concertation des responsables, il a été décidé d’offrir une prime d’un montant de 35 000 dollars à Silva, soit la plus grosse prime payée par Facebook jusqu’à aujourd’hui.

    Source : Blog du chercheur, Annonce de Facebook


    Et vous ?

    Qu’en pensez-vous ?

    Estimez-vous que Facebook aurait dû donner une prime plus conséquente ?

  2. #2
    Membre expérimenté
    Avatar de free07
    Homme Profil pro
    Développeur informatique
    Inscrit en
    mars 2005
    Messages
    844
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Ardèche (Rhône Alpes)

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : mars 2005
    Messages : 844
    Points : 1 740
    Points
    1 740
    Par défaut
    35 000 dollars... C'est surement pas grand chose en regard des dommages qu'auraient subit google si cette faille avait été exploité par des gens mal intentionnés.

    Il auraient pu se montrer + généreux, c'est juste un pourboire pour une société comme google !

  3. #3
    Expert éminent
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    août 2007
    Messages
    2 158
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : août 2007
    Messages : 2 158
    Points : 7 829
    Points
    7 829
    Par défaut la somme est ridicule
    35 000$ pour une faille pareille, c'est risible !! surtout pour une boîte comme Facebook avec un CA d'1 milliard $

    L’honnêteté ne paye pas, c'est bien connu

  4. #4
    Membre régulier
    Profil pro
    Inscrit en
    février 2003
    Messages
    211
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : février 2003
    Messages : 211
    Points : 83
    Points
    83
    Par défaut
    Oui enfin en même temps ils auraient aussi pu ne rien donner ... (même si ce n'était pas dans leur intérêt)

  5. #5
    Membre extrêmement actif
    Homme Profil pro
    Consultant Ingenierie mécanique
    Inscrit en
    mars 2006
    Messages
    1 251
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Yvelines (Île de France)

    Informations professionnelles :
    Activité : Consultant Ingenierie mécanique
    Secteur : Transports

    Informations forums :
    Inscription : mars 2006
    Messages : 1 251
    Points : 2 877
    Points
    2 877
    Par défaut
    Citation Envoyé par free07 Voir le message
    35 000 dollars... C'est surement pas grand chose en regard des dommages qu'auraient subit google si cette faille avait été exploité par des gens mal intentionnés.

    Il auraient pu se montrer + généreux, c'est juste un pourboire pour une société comme google !
    On parle pas de google la mais de facebook...

  6. #6
    Membre éprouvé Avatar de Shuty
    Homme Profil pro
    Ingénieur en développement
    Inscrit en
    octobre 2012
    Messages
    630
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Ingénieur en développement
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : octobre 2012
    Messages : 630
    Points : 1 172
    Points
    1 172
    Par défaut
    35K c'est vraiment dérisoire comparé au CA de Facebook, mais ça reste une belle somme tout de même.


    Quoi qu'il en soit, il reste un très bon chercheur... Il recevra sur son linkedin pas mal de propositions d'embauche je pense. C'est déjà pas mal !
    Agence web Dim'Solution, créateur de solutions numériques
    Sites internet, ecommerce, logiciels, applications mobiles, référencement (SEO), plugin Prestashop, Magento, WordPress, Joomla!...

    Cours de trading gratuit | Envoyer des sms gratuitement | Envoyer des fax gratuitement | Plateforme de Fax à l'international

  7. #7
    Membre du Club
    Homme Profil pro
    Développeur Web
    Inscrit en
    mai 2009
    Messages
    51
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Algérie

    Informations professionnelles :
    Activité : Développeur Web

    Informations forums :
    Inscription : mai 2009
    Messages : 51
    Points : 46
    Points
    46
    Par défaut
    Lidéal c'est de lui proposé un poste de travail à Facebook, je pense pas que ce genis va refusé cette proposition..

Discussions similaires

  1. Réponses: 2
    Dernier message: 08/04/2005, 14h23
  2. plein de petites tables ou une grosse?
    Par loveflower dans le forum Décisions SGBD
    Réponses: 9
    Dernier message: 09/11/2004, 17h00
  3. copier une petite texture sur une grosse texture
    Par gaut dans le forum DirectX
    Réponses: 5
    Dernier message: 15/10/2004, 22h12
  4. Remplir une grosse BdD ??
    Par MagicManu dans le forum Outils
    Réponses: 2
    Dernier message: 15/06/2004, 15h01
  5. Réponses: 14
    Dernier message: 17/03/2003, 18h31

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo