IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Actualités Discussion :

Facebook rajoute Oculus à son Bug Bounty Program

  1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    Mars 2013
    Messages
    9 019
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : Mars 2013
    Messages : 9 019
    Points : 208 506
    Points
    208 506
    Par défaut Facebook rajoute Oculus à son Bug Bounty Program
    Facebook rajoute Oculus à son Bug Bounty Program,
    trouvez des failles dans le site web, le SDK ou le casque et obtenez une récompense

    En mars 2014, Facebook a fait irruption dans le monde de la réalité virtuelle immersive avec le rachat d’Oculus VR pour un montant de 2 milliards de dollars. D’après nos confrères chez The Verge, le numéro un des réseaux sociaux a décidé d'ajouter Oculus à son programme de chasse aux bugs ; ainsi, conformément au règlement, quiconque lui rapportera des failles dans la sécurité de sa nouvelle acquisition recevra au minimum 500 dollars en fonction de son degré de sévérité et sa créativité. Pour rappel, Facebook n’a mis aucun plafond à la récompense et a fourni des exemples de problèmes réels ainsi que des récompenses qui ont été versées aux chercheurs. L’année dernière, l’entreprise a déboursé 1,5 millions de dollars dans le cadre de son programme.

    Near Poole, un ingénieur sécurité Facebook, a expliqué qu’à l’heure actuelle la plupart des bugs sont dans le système de messagerie des développeurs Oculus et des parties du site, ce qui ne les rend pas très différents des bugs trouvés sur le réseau social. Cependant, puisqu’Oculus est le premier produit physique de l’entreprise, l’équipe de sécurité pourrait rencontrer de nouveaux types de bug.

    « La majorité des difficultés liées à Oculus ne proviennent pas nécessairement du matériel pour le moment », a expliqué Poole. « Potentiellement dans l'avenir, si les gens allaient explorer et découvrir des failles dans le SDK ou le matériel, il est évident que cela aura un intérêt pour nous » a-t-il ajouté.

    De nombreuses sociétés technologiques ont recours à ce procédé pour vérifier leurs codes et rémunérer au passage des particuliers, voire des entreprises. Des évènements sont organisés où des éditeurs proposent à des professionnels de briser les défenses de leurs logiciels. Le programme de Facebook a été mis sur pied depuis juillet 2011.

    Source : The Verge

    Et vous ?

    Qu'en pensez-vous ?

  2. #2
    Membre éprouvé Avatar de Shuty
    Homme Profil pro
    Ingénieur en développement
    Inscrit en
    Octobre 2012
    Messages
    630
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Ingénieur en développement
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : Octobre 2012
    Messages : 630
    Points : 1 174
    Points
    1 174
    Par défaut
    Je pense que c'est un bon moyen de convertir les hacker black hat en white hat...

    Sérieusement, je pense que c'est une bonne chose et que beaucoup devraient prendre exemple.

    Ormis facebook, google, et oracle vous connaissez d'autre sociétés qui font ce type de campagnes ?

  3. #3
    Membre extrêmement actif
    Avatar de benjani13
    Homme Profil pro
    Consultant en sécurité
    Inscrit en
    Février 2010
    Messages
    615
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Ain (Rhône Alpes)

    Informations professionnelles :
    Activité : Consultant en sécurité

    Informations forums :
    Inscription : Février 2010
    Messages : 615
    Points : 2 826
    Points
    2 826
    Par défaut
    Citation Envoyé par Shuty Voir le message
    Je pense que c'est un bon moyen de convertir les hacker black hat en white hat...

    Sérieusement, je pense que c'est une bonne chose et que beaucoup devraient prendre exemple.

    Ormis facebook, google, et oracle vous connaissez d'autre sociétés qui font ce type de campagnes ?
    Qwant (le moteur de recherche français, cocorico) l'a fait lors de la dernière nuit du hack

    Mais c'est sur que ça reste limité à quelques entreprises bien geek.

  4. #4
    Membre régulier
    Homme Profil pro
    Consultant en Business Intelligence
    Inscrit en
    Décembre 2013
    Messages
    22
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Australie

    Informations professionnelles :
    Activité : Consultant en Business Intelligence
    Secteur : Conseil

    Informations forums :
    Inscription : Décembre 2013
    Messages : 22
    Points : 95
    Points
    95
    Par défaut
    @Shuty

    Je suis entièrement d'accord avec toi. En plus de l'intéret que ça représente pour les hackers (au sens générique du terme), je pense sérieusement que les produits ayant subit se type de programme ne peuvent s'en retrouvé que plus sécurisée. De plus, même si à l'échelle individuel, pour un particulier notamment, la récompense peut-être intéréssante (je pense surtout à certain pays "en voie de développement" (ce terme ne me plait guère), où, 500, 1000 ou 2000 $US peuvent représenter un gain non négligeable pour les développeurs !) d'un point de vue financier, je pense que Facebook & Cie, y gagnent beaucoup. Malgrès l'importance de la somme, il est vrai que (désolé si je choque), 1.5millions $US ne représente presque "rien" à leur échelle.

    Bref, c'est un programme réellement gagnant-gagnant-gagnant (la société, les hackers, les utilisateurs), chose relativement rare et qui mérite d'être souligné. J'espère que d'autres sociétés, pourrait s'inspirer de ces programmes.

  5. #5
    Expert éminent
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    Août 2007
    Messages
    2 161
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : Août 2007
    Messages : 2 161
    Points : 7 952
    Points
    7 952
    Par défaut
    @D.Evan
    Carrément d'accord (tout lien avec une émission de radio est fortuite )

    C'est une sacré preuve d'ouverture
    Par contre, les développeurs indépendants sous souvent mis hors course car en concurrence directe avec de plus en plus d'entreprises spécialisées dans sécurité qui se servent de ces événements pour se faire de la pub (et aussi repérer des failles qu'ils ne déclareront pas au cours de l'événement mais là, c'est le jeu de l’espionnage)
    Nous avons 2 sociétés françaises Qosmos et Amesys (qui ont notamment fournis les logiciels de surveillance du net en Syrie) qui participent régulièrement à ces événements (par contre, je ne sais pas trop si on doit en être fier )

  6. #6
    Membre extrêmement actif
    Avatar de benjani13
    Homme Profil pro
    Consultant en sécurité
    Inscrit en
    Février 2010
    Messages
    615
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Ain (Rhône Alpes)

    Informations professionnelles :
    Activité : Consultant en sécurité

    Informations forums :
    Inscription : Février 2010
    Messages : 615
    Points : 2 826
    Points
    2 826
    Par défaut
    Citation Envoyé par Saverok Voir le message
    @D.Evan
    Carrément d'accord (tout lien avec une émission de radio est fortuite )
    Un certain Mr Brunet?


    Citation Envoyé par Saverok Voir le message
    C'est une sacré preuve d'ouverture
    Qui reste trop rare malheureusement. Pour la plupart des entreprises, si tu découvres une faille sur leur site web ou autres, la meilleur chose à faire est de garder ça pour toi, tant pis si la faille impacte les utilisateurs. C'est malheureux mais mieux vaut ne pas prendre le risque (assez grand) de te retrouver avec un procès aux fesses.

  7. #7
    Membre régulier
    Homme Profil pro
    Consultant en Business Intelligence
    Inscrit en
    Décembre 2013
    Messages
    22
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Australie

    Informations professionnelles :
    Activité : Consultant en Business Intelligence
    Secteur : Conseil

    Informations forums :
    Inscription : Décembre 2013
    Messages : 22
    Points : 95
    Points
    95
    Par défaut
    Citation Envoyé par Saverok Voir le message
    @D.Evan
    [...]
    Nous avons 2 sociétés françaises Qosmos et Amesys (qui ont notamment fournis les logiciels de surveillance du net en Syrie) qui participent régulièrement à ces événements (par contre, je ne sais pas trop si on doit en être fier )
    C'est extrêmement intéréssant, car il est vrai que ce business model (et celui de la sécurité informatique en général), m'a l'air assez fragile et que je le voyait plus réservé à des services de grosses compagnies, à des sociétés étrangères, du type ndienne par exemple, ou à des développeurs indépendants !

    Maintenant, le faible nombre d'entreprise Française participant à ces activités ne m'étonne guère, la garantie de succès des découverte de bugs est assez faible. Je suis tout de même content d'apprendre qu'on arrive à ce défendre sur ce terrain-ci !

    D. Evan

  8. #8
    Expert éminent
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    Août 2007
    Messages
    2 161
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : Août 2007
    Messages : 2 161
    Points : 7 952
    Points
    7 952
    Par défaut
    Citation Envoyé par benjani13 Voir le message
    Un certain Mr Brunet?
    C'est fortuit, j'ai dit
    HS : je suis très rarement d'accord avec lui mais j'aime ça façon de débattre sans langue de bois. Le débat sans troll, c'est top

    Citation Envoyé par benjani13 Voir le message
    Qui reste trop rare malheureusement. Pour la plupart des entreprises, si tu découvres une faille sur leur site web ou autres, la meilleur chose à faire est de garder ça pour toi, tant pis si la faille impacte les utilisateurs. C'est malheureux mais mieux vaut ne pas prendre le risque (assez grand) de te retrouver avec un procès aux fesses.
    Vi
    Tout le monde n'a pas la même ouverture d'esprit

  9. #9
    Expert éminent
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    Août 2007
    Messages
    2 161
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : Août 2007
    Messages : 2 161
    Points : 7 952
    Points
    7 952
    Par défaut
    Citation Envoyé par D.Evan Voir le message
    Maintenant, le faible nombre d'entreprise Française participant à ces activités ne m'étonne guère, la garantie de succès des découverte de bugs est assez faible. Je suis tout de même content d'apprendre qu'on arrive à ce défendre sur ce terrain-ci !
    Content d'Amesys ?
    Je t'invite à faire quelques recherches sur les activités de cette société (c'est essentiellement des rumeurs vus son secteur d'activité mais les dictateurs semblent beaucoup apprécier ses services)
    C'est le genre de rayonnement de la France qui te refile un cancer

  10. #10
    Membre régulier
    Homme Profil pro
    Consultant en Business Intelligence
    Inscrit en
    Décembre 2013
    Messages
    22
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Australie

    Informations professionnelles :
    Activité : Consultant en Business Intelligence
    Secteur : Conseil

    Informations forums :
    Inscription : Décembre 2013
    Messages : 22
    Points : 95
    Points
    95
    Par défaut
    Citation Envoyé par Saverok Voir le message
    Content d'Amesys ?
    Je t'invite à faire quelques recherches sur les activités de cette société (c'est essentiellement des rumeurs vus son secteur d'activité mais les dictateurs semblent beaucoup apprécier ses services)
    C'est le genre de rayonnement de la France qui te refile un cancer
    Houlala, en effet ! Mea culpa

    Je ne connaissais pas le moins du monde la société Amesys, et, j'ai, hélas, fait un rapprochement un peu rapide, entre mes premiers propos, et la société que tu as cité. Je viens de regarder (très brièvement, je le confesse) l'historique de cette société, et, une certaine implication avec un ancien dictateur Lybien notamment ...

    En effet, ce n'est pas très glorieux. Voilà qui ne va pas redorer notre blason !

    Ca m'apprendra à parler sans me renseigner d'abord !

    D. Evan

  11. #11
    Expert éminent
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    Août 2007
    Messages
    2 161
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : Août 2007
    Messages : 2 161
    Points : 7 952
    Points
    7 952
    Par défaut
    Citation Envoyé par D.Evan Voir le message
    Houlala, en effet ! Mea culpa

    Je ne connaissais pas le moins du monde la société Amesys, et, j'ai, hélas, fait un rapprochement un peu rapide, entre mes premiers propos, et la société que tu as cité. Je viens de regarder (très brièvement, je le confesse) l'historique de cette société, et, une certaine implication avec un ancien dictateur Lybien notamment ...

    En effet, ce n'est pas très glorieux. Voilà qui ne va pas redorer notre blason !

    Ca m'apprendra à parler sans me renseigner d'abord !

    D. Evan
    En même temps, c'est parmi l'élite mondiale de la vente d'arme numérique dans le monde
    La réglementation de ce type d'activité est toujours royalement à la traîne (comme tout ce qui concerne le numérique) donc ils sont libres de faire tout ce qu'ils veulent.
    Pour la moral par contre, on repassera plus tard

  12. #12
    Membre éprouvé Avatar de Shuty
    Homme Profil pro
    Ingénieur en développement
    Inscrit en
    Octobre 2012
    Messages
    630
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Ingénieur en développement
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : Octobre 2012
    Messages : 630
    Points : 1 174
    Points
    1 174
    Par défaut
    Citation Envoyé par benjani13 Voir le message
    Un certain Mr Brunet?




    Qui reste trop rare malheureusement. Pour la plupart des entreprises, si tu découvres une faille sur leur site web ou autres, la meilleur chose à faire est de garder ça pour toi, tant pis si la faille impacte les utilisateurs. C'est malheureux mais mieux vaut ne pas prendre le risque (assez grand) de te retrouver avec un procès aux fesses.


    Nous sommes tout à fait d'accord que le problème reste le point de vue des société actuelles. Comme nombreux d'entre vous, j'ai une découverte une faille (sql, xss, crsf, rfi etc...) plus ou moins dangereuse. Au moment de la découverte plusieurs question se posent :

    - Dois-je en avertir le webmaster ?
    - Ou, dois-je tracer ma route...

    Dans tous les cas, il y a un risque. Soit pour soit, soit pour les autres. Plusieurs fois, j'en ai averti les webmaster et de nombreuses fois cela m'a permis de chiffré un petit devis, mais beaucoup son moins professionnel et n'hésite pas à pousser la faute sur les bidouilleurs / hackers...

    Bref, c'est à double tranchant...

Discussions similaires

  1. Le Projet Spartan agrandit la liste du Bug Bounty Program de Microsoft
    Par Stéphane le calme dans le forum Sécurité
    Réponses: 0
    Dernier message: 23/04/2015, 12h10
  2. Réponses: 11
    Dernier message: 12/11/2013, 00h28
  3. Facebook met à jour son SDK JavaScript
    Par Gordon Fowler dans le forum Facebook
    Réponses: 3
    Dernier message: 22/05/2012, 14h40
  4. Facebook a présenté son nouveau système de messagerie
    Par Katleen Erna dans le forum Actualités
    Réponses: 32
    Dernier message: 18/11/2010, 14h03
  5. Rajouter un son sur un commandbutton
    Par celcy dans le forum VB 6 et antérieur
    Réponses: 3
    Dernier message: 26/01/2007, 19h18

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo