Peu connu des utilisateurs lambda, le Bug Bounty Program de Facebook est un espace pour les hackers white hat qui recherchent des bugs de sécurité sur le Social Network. Le programme fêtera sous peu ses dix ans d’existence ; c’est donc l’occasion de revenir sur le travail réalisé depuis 2011 avec quelques chiffres impressionnants.
Nombreuses sont les plateformes qui récompensent les chasseurs de bugs, mais on peut dire que ça ne chôme pas du côté de Facebook. En une dizaine d’années, plus de 50 000 personnes ont rejoint le programme et parmi eux 1 500 ont reçu des primes pour leurs signalements.
Également appelé Programme Whitehat, le réseau social encourage les utilisateurs à signaler les éventuelles failles de sécurité dans son écosystème. Sur le blog du géant du web, Dan Gurfinkel, le responsable de la sécurité, a partagé quelques données et faits marquants de ces dernières années.
Depuis 2011, le réseau social explique avoir reçu plus de 130 000 rapports de signalement dont 6 900 ont reçu des primes. Jusqu’à aujourd’hui cela représente environ 1.98 million de dollars qui ont été versés à des chasseurs de bugs dans plus de 50 pays. Pour se rendre compte du travail accompli, cette année, on compte 17 000 rapports dont un millier ont été récompensés. Cela fait trois ans que le montant des primes versées est de plus en plus élevé. Faut-il en déduire que les bugs sont plus nombreux ou que les bounty hunter sont toujours plus actifs ?
Au classement des pays les plus actifs et les plus primés, on retrouve en tête l’Inde, suivie de la Tunisie et, enfin, les États-Unis en troisième place.
Les grands chantiers passés et à venir
À l’origine en 2011, le programme s’est concentré sur la page Web Facebook, mais désormais le mobile et les nombreuses applications font partie du projet. Y compris Oculus et Workplace, précise Dan Gurfinkel.
Aujourd’hui, le gros du travail se concentre sur trois domaines. Premièrement, la recherche sur la sécurité dans les domaines émergents. Autrement dit, l’utilisation abusive de données Facebook par les développeurs d’application, mais aussi les bugs de sécurité sur les apps et les sites tiers. Deuxième sujet : la création d’outils pour aider la communauté whitehat dans sa recherche de bugs. Enfin, troisième chantier, la mise en place d’événements dédiés au piratage pour tisser des liens et faire naître des collaborations ; cela inclut évidemment la conférence BountyCon de Facebook.
(function(d, s, id) { var js, fjs = d.getElementsByTagName(s)[0]; if (d.getElementById(id)) return; js = d.createElement(s); js.id = id; js.src = "http://connect.facebook.net/fr_FR/all.js#appId=243265768935&xfbml=1"; fjs.parentNode.insertBefore(js, fjs); }(document, 'script', 'facebook-jssdk'));