Pour gérer vos consentements :

Facebook offre 100 000 $ à des chercheurs en sécurité

Publié par La rédaction le | Mis à jour le

Facebook double la récompense associée à son prix Internet defense Prize. Ce dont profite une équipe de l'université Georgia Tech à l'origine de travaux sur une classe de vulnérabilités C++. et auteur d'un outil de détection associé.

Lors du Usenix Security Symposium, qui se tient du 12 au 14 août à Washington, Facebook a remis un prix de 100 000 dollars à une équipe de chercheurs de l'université Georgia Tech. Le réseau social double ainsi la prime qu'il accordait aux chasseurs de bugs dans le cadre de son concours baptisé Internet Defense Prize. Les récompenses à 6 chiffres restent l'exception dans les programmes de chasse aux bugs que mettent en place les éditeurs. Seul Microsoft semble à ce jour se montrer plus généreux, avec 200 000 $ de récompense accordée à un chercheur dans le cadre de son Blue Hat Prize (mais c'était en 2012). Le premier éditeur mondial vient également de passer à 100 000 $ maximum la prime associée à son programme au long cours de 'bug bounty'.

Dans un article de recherche, les deux doctorants de Georgia Tech (Byoungyoung Lee et Chengyu Song) retenus par Facebook, épaulés par leurs professeurs Taesoo Kim et Wenke Lee (voir la photo ci-dessus), mettent en évidence une classe émergente de vulnérabilités C++ (Type Casting Verification), aboutissant à des phénomènes de corruption de la mémoire. Ils fournissent aussi un outil de détection (CaVeR) de ces failles. Outil qui a déjà permis de découvrir deux failles dans Firefox et neuf autres dans libstdc++, la librairie C++ standard utilisée notamment par Chrome. Ces vulnérabilités ont, depuis, été patchées.

Un problème bien concret

« La recherche en sécurité fait souvent la part belle aux recherches offensives et accorde moins d'attention aux gens effectuant les travaux les plus sérieux, nécessaires pour garder les systèmes sûrs et pour réduire le risque né de classes entières de vulnérabilités », explique Ioannis Papagiannis, responsable de la sécurité de Facebook. Le réseau social indique qu'il espère que le prix permettra aux chercheurs de continuer à améliorer CaVeR et à le rendre accessible et utile à grande échelle. « Ces travaux ciblent un problème de sécurité très concret », exploité par exemple dans un exploit ciblant Chrome en 2013, reprend Ioannis Papagiannis, dans un billet de blog.

Pour le responsable, si Facebook investit tout cet argent dans la recherche en sécurité, c'est avant tout pour des raisons. très pragmatiques. « La raison pour laquelle Facebook a réussi à servir les besoins de près de 1,5 milliard d'individus réside dans notre capacité à introduire et à mettre en oeuvre très rapidement des catégories de systèmes et de frameworks qui nous permettent d'éviter, en une fois, des classes entières de vulnérabilités », écrit-il.

A lire aussi :

United Airlines offre 1,8 million de miles aux chasseurs de bugs
Microsoft lance sa chasse aux bugs sur Spartan
Dans l'ombre de Vupen, Zerodium programme les chasseurs de failles zero day

La rédaction vous recommande