Meta (groupe Facebook) a mis à jour sa politique des primes versées dans le cadre de son programme de bug bounty, pour se conformer à la nouvelle direction prise par l'entreprise, tournée vers la réalité virtuelle et le metaverse.
Toute grande entité numérique, et Meta en est une, dispose de son propre programme de bug bounty, une sorte de fonds qui se traduit par des récompenses pécuniaires allouées aux hackers dits « éthiques » qui viennent dénicher des failles et vulnérabilités critiques dans ses produits et services. On appelle cela plus communément la « prime aux bogues ». Et conformément à ses nouvelles ambitions, qui tournent autour du metaverse et des produits de sa division Reality Labs, Meta a décidé de mettre à jour son programme, pour parfaire et assurer la sécurité de son nouvel univers en 3D.
Les Meta Quest 2 et Portal, pourvoyeurs de récompenses pour les hackers éthiques
Facebook reconnaît volontiers qu'en plus d'une décennie, son programme de bug bounty a fait des merveilles. De nombreuses vulnérabilités ont été décelées puis corrigées dans ses produits, avant que des hackers peu scrupuleux n'y parviennent. Avec le développement de la réalité virtuelle et du metaverse, le groupe Meta a décidé d'être plus transparent sur la délivrance des primes.
Les produits de Reality Labs sont évidemment privilégiés. Le casque Meta Quest 2 (ex-Oculus Quest 2), le Meta Portal (l'écran dédié à l'appel vidéo) et les Ray-Ban Stories (les lunettes intelligentes) font partie des éléments que la firme californienne souhaite sécuriser à tout prix. Et ce désir de transparence sur les primes s'applique tout particulièrement à ces derniers.
Meta explique qu'une vulnérabilité entraînant un accès non autorisé au microphone sur le Quest rapporterait, pour sa découverte, une récompense de 5 000 dollars à son hacker éthique. Contourner le démarrage sécurisé du casque virtuel pourrait permettre à son dénicheur de percevoir une prime pouvant atteindre 30 000 dollars. Débusquer un accès non autorisé à des données appartenant aux utilisateurs pourrait rapporter entre 500 et 10 000 dollars au hacker éthique, le montant dépendant du type de données consultées.
Les vulnérabilités à plus forts impacts mieux rémunérées
Le groupe Meta va encore plus loin. Il précise ainsi que le chercheur ou hacker qui prouve que le bogue découvert aurait pu causer des dégâts physiques, ou entraîner des dommages touchant à la sécurité ou à la confidentialité de l'utilisateur, bénéficiera d'une évaluation à la hausse de sa prime. « Nous prendrons ces impacts en considération lors de la détermination du paiement global de la prime », nous dit Meta dans le texte. En gros : plus la faille est critique, plus la prime est élevée.
Meta rappelle avoir mis les bouchées doubles pour sécuriser ses applications et produits de réalité virtuelle. La société, avec la mise à jour système v21 du Meta Quest, a par exemple offert aux utilisateurs de nouveaux moyens pour sécuriser leur compte, comme la définition d'un modèle de déverrouillage sur l'application ou le casque, ou l'enregistrement des mots de passe sur le navigateur.
Source : Meta