Facebook rémunère la découverte de vulnérabilités, à l'image de Mozilla et Google

Google et la fondation Mozilla rémunèrent déjà les découvertes de vulnérabilités. La firme de Montain View propose une récompense de base de 500 dollars et peut offrir jusqu'à 3113,7 dollars aux chercheurs ayant découvert une faille particulièrement importante ("31137" signifie "eleet" (élite) en elite speak). La fondation au panda roux propose des récompenses du même ordre, allant de 500 à 3000 dollars.

Facebook rejoint donc Google et Mozilla dans cette démarche, en proposant une rémunération de base de 500 dollars pour toute découverte de vulnérabilité de type Cross-Site Scripting (XSS), Cross-Site Request Forgery (CSRF/XSRF) ou d'injection de code à distance. La prime pouvant augmenter en fonction de la criticité de la faille.

Cependant, ce programme est critiqué, la sécurité de Facebook pouvant être améliorée via trois points n'ayant aucun lien avec la recherche de vulnérabilités :

  • Mise en place du "HTTPS Everywere",
  • Contrôler les développeurs d'application,
  • Ne pas diffuser d'informations privées par défaut.

D'autres détracteurs diront qu'au prix d'un audit de sécurité, ce programme est un bon moyen d'obtenir des audits à bas coûts.

Source : Google, Mozilla, Facebook

Et vous ?

Trouvez-vous ce programme motivant ?
Pensez-vous que cette démarche va vraiment améliorer la sécurité des services de Facebook ?
Pensez-vous que c'est un moyen d'avoir de la main d'œuvre pas cher ?