Pour une entreprise technologique, avoir un programme de bug bounty est devenu indispensable. Facebook a lancé le sien en 2018 et ne cesse de le faire évoluer depuis. La toute dernière innovation du réseau social est d’avoir mis en place le 9 octobre un programme de fidélité, Hacker Plus, pour récompenser les chercheurs dévoilant une faille de sécurité à l’entreprise.
Les chercheurs les mieux classés auront jusqu’à 20% de bonus sur leurs primes
Dès sa naissance l’ambition du programme de bug bounty de Facebook a été de se constituer une armée de chercheurs en cybersécurité pour détecter la moindre faille des services ou produits du réseau social. Avec le programme de fidélité Hacker Plus dévoilé le 9 octobre Facebook concrétise cette ambition de s’adjoindre durablement les services de chercheurs.
Tous les hackers qui ont été rémunérés pour avoir soumis un bug à Facebook ou qui le feront seront d’office inclus dans le programme. Ils auront un score calculé selon plusieurs critères comme la quantité de bugs mis en évidence et validé par l’entreprise ou la difficulté pour les dénicher. Ce score sera accessible via une page privée.
Sur la base de ce score les chercheurs seront répartis dans un système de classement ludique, rappelant les jeux vidéo : la ligue bronze, argent, or, platine et diamant. Selon la ligue où seront placés les chercheurs, ils bénéficieront en plus de leur prime un bonus plus ou moins important, « Les chercheurs de notre ligue Bronze recevront un bonus de 5% en plus de chaque prime qu'ils recevront. Les membres de la ligue Diamant recevront un bonus de 20% en plus de chaque prime qu'ils recevront » explique l’entreprise dans un billet dédié à Hacker Plus.
Les membres des ligues supérieurs, platine et diamant, seront invités à des événements particuliers, notamment pour tester des fonctionnalités de Facebook encore inaccessibles au grand public. Le réseau social explique « vouloir récompenser les efforts pour contribuer à rendre les applications et les services de Facebook plus sûrs ».
Les différentes ligues et les avantages associés. Source : Facebook
Facebook se donne les moyens d’obtenir son armée de chasseurs de bugs
En parallèle d’Hacker Plus le programme bug bounty de Facebook bénéficie d’une innovation, FBDL (Facebook Bug Description Language). Ce système doit faciliter la description d’une faille de sécurité par les chasseurs de bugs et ainsi accélérer leur prise en compte par les services de l’entreprise. Selon ZDNet un bonus de 5% (dans la limite de 500 dollars) pourrait être octroyé aux utilisateurs de FBDL pour accélérer son implantation. Avec ces nouvelles améliorations, Facebook se donne toutes les cartes en main pour attirer les chercheurs de failles de sécurité les plus motivés, reste à voir si ces derniers s’en empareront.
