Discussion :

[Stéphane le calme]

Facebook rajoute Oculus à son Bug Bounty Program,
trouvez des failles dans le site web, le SDK ou le casque et obtenez une récompense

En mars 2014, Facebook a fait irruption dans le monde de la réalité virtuelle immersive avec le rachat d’Oculus VR pour un montant de 2 milliards de dollars. D’après nos confrères chez The Verge, le numéro un des réseaux sociaux a décidé d'ajouter Oculus à son programme de chasse aux bugs ; ainsi, conformément au règlement, quiconque lui rapportera des failles dans la sécurité de sa nouvelle acquisition recevra au minimum 500 dollars en fonction de son degré de sévérité et sa créativité. Pour rappel, Facebook n’a mis aucun plafond à la récompense et a fourni des exemples de problèmes réels ainsi que des récompenses qui ont été versées aux chercheurs. L’année dernière, l’entreprise a déboursé 1,5 millions de dollars dans le cadre de son programme.

Near Poole, un ingénieur sécurité Facebook, a expliqué qu’à l’heure actuelle la plupart des bugs sont dans le système de messagerie des développeurs Oculus et des parties du site, ce qui ne les rend pas très différents des bugs trouvés sur le réseau social. Cependant, puisqu’Oculus est le premier produit physique de l’entreprise, l’équipe de sécurité pourrait rencontrer de nouveaux types de bug.

« La majorité des difficultés liées à Oculus ne proviennent pas nécessairement du matériel pour le moment », a expliqué Poole. « Potentiellement dans l'avenir, si les gens allaient explorer et découvrir des failles dans le SDK ou le matériel, il est évident que cela aura un intérêt pour nous » a-t-il ajouté.

De nombreuses sociétés technologiques ont recours à ce procédé pour vérifier leurs codes et rémunérer au passage des particuliers, voire des entreprises. Des évènements sont organisés où des éditeurs proposent à des professionnels de briser les défenses de leurs logiciels. Le programme de Facebook a été mis sur pied depuis juillet 2011.

Source : The Verge

Et vous ?

Qu'en pensez-vous ?

[Shuty]

Je pense que c'est un bon moyen de convertir les hacker black hat en white hat...

Sérieusement, je pense que c'est une bonne chose et que beaucoup devraient prendre exemple.

Ormis facebook, google, et oracle vous connaissez d'autre sociétés qui font ce type de campagnes ?

[benjani13]

Je pense que c'est un bon moyen de convertir les hacker black hat en white hat...

Sérieusement, je pense que c'est une bonne chose et que beaucoup devraient prendre exemple.

Ormis facebook, google, et oracle vous connaissez d'autre sociétés qui font ce type de campagnes ?

Qwant (le moteur de recherche français, cocorico) l'a fait lors de la dernière nuit du hack

Mais c'est sur que ça reste limité à quelques entreprises bien geek.

[D.Evan]

@Shuty

Je suis entièrement d'accord avec toi. En plus de l'intéret que ça représente pour les hackers (au sens générique du terme), je pense sérieusement que les produits ayant subit se type de programme ne peuvent s'en retrouvé que plus sécurisée. De plus, même si à l'échelle individuel, pour un particulier notamment, la récompense peut-être intéréssante (je pense surtout à certain pays "en voie de développement" (ce terme ne me plait guère), où, 500, 1000 ou 2000 $US peuvent représenter un gain non négligeable pour les développeurs !) d'un point de vue financier, je pense que Facebook & Cie, y gagnent beaucoup. Malgrès l'importance de la somme, il est vrai que (désolé si je choque), 1.5millions $US ne représente presque "rien" à leur échelle.

Bref, c'est un programme réellement gagnant-gagnant-gagnant (la société, les hackers, les utilisateurs), chose relativement rare et qui mérite d'être souligné. J'espère que d'autres sociétés, pourrait s'inspirer de ces programmes.

[Saverok]

@D.Evan
Carrément d'accord (tout lien avec une émission de radio est fortuite )

C'est une sacré preuve d'ouverture
Par contre, les développeurs indépendants sous souvent mis hors course car en concurrence directe avec de plus en plus d'entreprises spécialisées dans sécurité qui se servent de ces événements pour se faire de la pub (et aussi repérer des failles qu'ils ne déclareront pas au cours de l'événement mais là, c'est le jeu de l’espionnage)
Nous avons 2 sociétés françaises Qosmos et Amesys (qui ont notamment fournis les logiciels de surveillance du net en Syrie) qui participent régulièrement à ces événements (par contre, je ne sais pas trop si on doit en être fier )

[benjani13]

@D.Evan
Carrément d'accord (tout lien avec une émission de radio est fortuite )

Un certain Mr Brunet?

C'est une sacré preuve d'ouverture

Qui reste trop rare malheureusement. Pour la plupart des entreprises, si tu découvres une faille sur leur site web ou autres, la meilleur chose à faire est de garder ça pour toi, tant pis si la faille impacte les utilisateurs. C'est malheureux mais mieux vaut ne pas prendre le risque (assez grand) de te retrouver avec un procès aux fesses.

[D.Evan]

@D.Evan
[...]
Nous avons 2 sociétés françaises Qosmos et Amesys (qui ont notamment fournis les logiciels de surveillance du net en Syrie) qui participent régulièrement à ces événements (par contre, je ne sais pas trop si on doit en être fier )

C'est extrêmement intéréssant, car il est vrai que ce business model (et celui de la sécurité informatique en général), m'a l'air assez fragile et que je le voyait plus réservé à des services de grosses compagnies, à des sociétés étrangères, du type ndienne par exemple, ou à des développeurs indépendants !

Maintenant, le faible nombre d'entreprise Française participant à ces activités ne m'étonne guère, la garantie de succès des découverte de bugs est assez faible. Je suis tout de même content d'apprendre qu'on arrive à ce défendre sur ce terrain-ci !

D. Evan

[Saverok]

Un certain Mr Brunet?

C'est fortuit, j'ai dit
HS : je suis très rarement d'accord avec lui mais j'aime ça façon de débattre sans langue de bois. Le débat sans troll, c'est top

Qui reste trop rare malheureusement. Pour la plupart des entreprises, si tu découvres une faille sur leur site web ou autres, la meilleur chose à faire est de garder ça pour toi, tant pis si la faille impacte les utilisateurs. C'est malheureux mais mieux vaut ne pas prendre le risque (assez grand) de te retrouver avec un procès aux fesses.

Vi
Tout le monde n'a pas la même ouverture d'esprit

[Saverok]

Maintenant, le faible nombre d'entreprise Française participant à ces activités ne m'étonne guère, la garantie de succès des découverte de bugs est assez faible. Je suis tout de même content d'apprendre qu'on arrive à ce défendre sur ce terrain-ci !

Content d'Amesys ?
Je t'invite à faire quelques recherches sur les activités de cette société (c'est essentiellement des rumeurs vus son secteur d'activité mais les dictateurs semblent beaucoup apprécier ses services)
C'est le genre de rayonnement de la France qui te refile un cancer

[D.Evan]

Content d'Amesys ?
Je t'invite à faire quelques recherches sur les activités de cette société (c'est essentiellement des rumeurs vus son secteur d'activité mais les dictateurs semblent beaucoup apprécier ses services)
C'est le genre de rayonnement de la France qui te refile un cancer

Houlala, en effet ! Mea culpa

Je ne connaissais pas le moins du monde la société Amesys, et, j'ai, hélas, fait un rapprochement un peu rapide, entre mes premiers propos, et la société que tu as cité. Je viens de regarder (très brièvement, je le confesse) l'historique de cette société, et, une certaine implication avec un ancien dictateur Lybien notamment ...

En effet, ce n'est pas très glorieux. Voilà qui ne va pas redorer notre blason !

Ca m'apprendra à parler sans me renseigner d'abord !

D. Evan

[Saverok]

Houlala, en effet ! Mea culpa

Je ne connaissais pas le moins du monde la société Amesys, et, j'ai, hélas, fait un rapprochement un peu rapide, entre mes premiers propos, et la société que tu as cité. Je viens de regarder (très brièvement, je le confesse) l'historique de cette société, et, une certaine implication avec un ancien dictateur Lybien notamment ...

En effet, ce n'est pas très glorieux. Voilà qui ne va pas redorer notre blason !

Ca m'apprendra à parler sans me renseigner d'abord !

D. Evan

En même temps, c'est parmi l'élite mondiale de la vente d'arme numérique dans le monde
La réglementation de ce type d'activité est toujours royalement à la traîne (comme tout ce qui concerne le numérique) donc ils sont libres de faire tout ce qu'ils veulent.
Pour la moral par contre, on repassera plus tard

[Shuty]

Un certain Mr Brunet?




Qui reste trop rare malheureusement. Pour la plupart des entreprises, si tu découvres une faille sur leur site web ou autres, la meilleur chose à faire est de garder ça pour toi, tant pis si la faille impacte les utilisateurs. C'est malheureux mais mieux vaut ne pas prendre le risque (assez grand) de te retrouver avec un procès aux fesses.

Nous sommes tout à fait d'accord que le problème reste le point de vue des société actuelles. Comme nombreux d'entre vous, j'ai une découverte une faille (sql, xss, crsf, rfi etc...) plus ou moins dangereuse. Au moment de la découverte plusieurs question se posent :

- Dois-je en avertir le webmaster ?
- Ou, dois-je tracer ma route...

Dans tous les cas, il y a un risque. Soit pour soit, soit pour les autres. Plusieurs fois, j'en ai averti les webmaster et de nombreuses fois cela m'a permis de chiffré un petit devis, mais beaucoup son moins professionnel et n'hésite pas à pousser la faute sur les bidouilleurs / hackers...

Bref, c'est à double tranchant...