Dans le sillage de l'affaire Cambridge Analytica, Facebook a réagi et a lancé en avril son programme Bug Bounty. Objectif : récompenser les personnes qui parviennent à identifier des failles sur les services et applications du réseau social.
Le géant américain vient tout juste d'élargir cette traque aux applications tierces et sites internet qui demandent à un utilisateur de s'identifier via son compte Facebook.
L'attention portée aux tokens d'accès
Dan Gurfinkel, Responsable de l'ingénierie de sécurité du groupe, résume cette ambition : « Nous voulons prendre notre part dans la protection des informations des utilisateurs, même lorsque la source d'un bug n'est pas sous notre contrôle direct. »Ce nouveau volet du programme se penche plus particulièrement sur la sécurité autour des tokens d'accès générés de façon unique pour chaque utilisateur, et qui permettent de l'authentifier pendant le processus de connexion.
Les hackers participants devront soumettre un rapport démontrant la vulnérabilité aux pirates de ces applications tierces et sites internet. Une fois ce rapport validé, Facebook suspendra ces derniers de la plateforme jusqu'à ce que le problème soit résolu, et prendra contact avec leurs développeurs pour les aider à réparer la faille constatée.
Une récompense évolutive
Toute personne qui détecte une faille sur ces tokens recevra au moins 500 dollars. Cependant, le montant de la récompense pourra augmenter en fonction de la criticité de chaque signalement. Le réseau social ne manque d'ailleurs pas de rappeler qu'il a versé des récompenses atteignant 40 000 dollars lors de la première phase du programme.Enfin, si une même faille est signalée par deux personnes travaillant indépendamment l'une de l'autre, la somme reviendra à celle qui soumettra le rapport en premier. Si elle se montre généreuse et fait don de sa prime à une œuvre caritative, Facebook doublera le montant de sa rétribution.