En début de mois, Facebook a donné le coup d'envoi du Bug Bounty Program ( voir notre actualité ). Un type d'initiative inaugurée par Mozilla et notamment suivie par Google ( pour Chrome et autres ) qui consiste à rémunérer des chercheurs en sécurité tiers pour la découverte de vulnérabilités.

Le réseau social plaide ainsi pour une divulgation responsable et offre pour motiver les troupes des sommes allant de 500 dollars minimum par bug de sécurité à plus pour des bugs spécifiques. La principale règle du jeu à respecter est de donner à Facebook suffisamment de temps avant de divulguer publiquement quelques trouvailles.

Les failles récompensées sont de type Cross-Site Scripting ( XSS ), Cross-Site Request Forgery ou injection de code à distance qui concernent directement Facebook. Preuve d'un certain succès, le réseau social indique avoir déjà versé 40 000 dollars en l'espace de trois semaines. Une personne a été récompensée à hauteur de plus de 7 000 dollars pour six bugs différents mis au jour, tandis qu'un rapport jugé de très bonne qualité a valu à son auteur 5 000 dollars.

Si Facebook a bien évidemment sa propre équipe dédiée à la chasse aux bugs de sécurité, le réseau social estime que le programme de récompenses a déjà permis de rendre le site plus sûr en remontant à la surface des " problèmes grands et petits ", en mettant en lumière de " nouveaux vecteurs d'attaque " et en aidant à l'amélioration du code.

Que de louanges, si ce n'est que l'on se doute que les hackers ne portent pas tous un chapeau blanc, et que ceux avec un chapeau noir ont très probablement quelques trouvailles à monnayer encore bien plus auprès de cybercriminels.

Par ailleurs, ce programme a quelques lacunes. Il écarte de son champ le scam ainsi que les bugs de sécurité dans les applications tierces. Des problèmes que les utilisateurs Facebook rencontrent finalement le plus fréquemment.

Bug Bounty Program est en tout cas une belle vitrine promotionnelle pour Facebook, histoire de montrer que la sécurité est un réel souci quotidien.