Facebook vient d’offrir la plus grosse somme à un chercheur en sécurité qui a découvert un bug si grand qu’il aurait pu détourner un serveur entier du réseau social…
En effet, comme le souligne ZDNet, Facebook a payé un ingénieur brésilien en informatique nommé Reginaldo Silva 33 500 dollars pour leur avoir rapporté un bug majeur sur le réseau social. Silva n’est pas un novice en la matière puisqu’il avait déjà découvert et révélé un bug sur Facebook en 2012, ainsi qu’un problème de sécurité lié par l’exécution d’un code sur un de des serveurs de Google lui avait permis de récolter 500 dollars.
Silva a détaillé comment il a découvert le bug sur Google, ainsi que celui pouvant mettre Facebook en grande difficulté par un billet sur son blog. Bien qu’il connaissait ce type de bug depuis des années, il a seulement découvert comment il s’appliquait sur Facebook après avoir travaillé sur le problème pendant deux jours avant de pirater le système et de signaler aussitôt celui-ci.
Sans entrer dans les détails que vous pouvez retrouver dans l’article en question, sachez que Silva a exploité une faille liée à OpenID, qui lui a permis d’accéder au fichier /etc/passwd
sur le serveur, contenant une liste de tous les comptes utilisateur et l’emplacement de leurs répertoires. Cependant, compte tenu de la gravité de l’anomalie, Facebook a mis en place une solution à court terme en moins de 3,5 heures.
Facebook a souhaité saluer la performance de Silva à travers une publication sur la page Facebook Bug Bounty, qui met en avant les hackers « white hats », ceux qui avertissent le réseau social lors de la découverte de vulnérabilités.
De nombreux utilisateurs de Facebook ont commenté la publication, exprimant leur déception quant à la somme remise par Facebook, qui pour eux est bien trop faible. Mais, espérons que cette exposition médiatique aidera Silva à se faire embaucher dans une entreprise technologique de grande envergure – ou Facebook elle-même.
En tout cas, Silva n’abandonne pas sa quête de se débarrasser des bugs de Facebook. « Ce n’est pas mon premier bug lié à sécurité qui leur sera soumis, et ce ne sera certainement pas le dernier. Mon objectif est de continuer à trouver des failles de sécurité à fort impact », mentionne t-il.