Facebook a décidé de rémunérer les hackers qui trouveraient des bugs pouvant affecter les services de son site, à condition que ces problèmes soient signalés en premier aux équipes techniques du réseau social. En lançant le programme web « Security Bug Bounty »,  Facebook emboîte ainsi le pas  à Google et Mozilla.

Pour les bugs liés à la sécurité - par exemple les failles XSS (cross site scripting) - la société proposera une prime de 500 dollars. Pour les failles plus importantes,  Facebook payera davantage, mais sans préciser cette fois de montant précis. A partir de vendredi, le site lancera White Hats (https://www.facebook.com/whitehat/), un portail où les chercheurs pourront s'enregistrer et signaler des bugs.

300 000 dollars de primes versés par Google

De son côté, Google offre entre 500 et 3 000 dollars de primes, selon la gravité de la faille. La firme de Mountain View a commencé à payer début 2010 pour les bugs trouvés sur son navigateur, puis a étendu son programme en novembre dernier à d'autres domaines.  Selon un porte-parole de Google, cette démarche a aidé la firme à découvrir un grand nombre d'erreurs de programmation au cours des huit derniers mois, dont la plupart dans des produits moins connus. « Nous sommes très heureux du succès de notre programme de récompense, a déclaré un représentant de la firme dans un e-mail. Nous avons déjà payé 300 000 dollars et nous avons pu voir un échantillon de bogues intéressantes ».

En attendant, les équipes de sécurité de Facebook sont déjà fortement engagées dans le dialogue avec des chercheurs en sécurité. La société est contactée par des hackers entre 30 à 50 fois par semaine. Les informations fournies par ces derniers ont permis de déclencher entre un à trois « bugs actions », par semaine, a indiqué Alex Rice, responsable des produits sécurité chez Facebook  « La plupart des attaques sont de type XSS (cross-site scripting) ou CSRF (cross-site request forgery) », a-t-il ajouté. « Ce sont deux erreurs très communes de programmation web pouvant être utilisées par des escrocs pour tromper des membres de Facebook. »

Facebook offre une récompense de 500 £ par bug de sécurité
Crédit photo : Arvind Balaraman - freedigitalphotos.net