Meta étend son programme de bug bounty pour lutter contre le scraping
Meta vient d’annoncer l’extension de sa plateforme de bug bounty afin d’y inclure les vulnérabilités susceptibles d’être exploitées pour l’extraction de données, ou le “scraping”.
Mercredi, le géant des réseaux sociaux – qui vient de changer son nom de Facebook à Meta – indiquait que les deux nouveaux domaines de recherche tourneraient autour des bugs de scraping et des bases de données scrapées contenant des informations sur les utilisateurs.
Dan Gurfinkel, responsable de la sécurité chez Meta, souligne qu’inclure les bugs de scraping valides et les bases de données exposées dans un programme de bug bounty est, à sa connaissance, une « première dans l’industrie ».
Cambridge Analytica et les autres
Au cours des années passées, Meta/Facebook a été impliquée dans de nombreux incidents liés au scraping de données de ses utilisateurs. Le plus connu est le scandale de Cambridge Analytica, dans lequel les données de 87 millions d’utilisateurs ont été extraites et partagées sans leur consentement.
Plus récemment, des informations appartenant à environ 553 millions d’utilisateurs de Facebook ont été mises en ligne. Meta précisait alors que la collecte massive de ces données avait eu lieu en 2019.
« Nous savons que l’activité automatisée conçue pour scraper les données publiques et privées des utilisateurs cible chaque site web ou service », explique le responsable de la sécurité de Meta. « Nous savons également qu’il s’agit d’un espace hautement contradictoire où les scrapeurs – qu’il s’agisse d’applications, de sites web ou de scripts malveillants – adaptent constamment leurs tactiques pour échapper à la détection en réponse aux défenses que nous construisons et améliorons. »
Des primes à partir de 500 dollars
Meta recherche donc à ce qu’on lui rapporte des vulnérabilités permettant de contourner les mécanismes de limitation du scraping, ainsi que celles permettant le scraping « à une échelle supérieure à celle prévue par le produit ». En particulier, Meta invite les chercheurs à se pencher sur les problèmes de contournement logique, bien que les erreurs de limitation de taux soient également dans leur champ d’application.
Les bases de données concernées par le scraping sont à la fois des données publiques non protégées et ouvertes, découvertes en ligne, qui contiennent au moins 100 000 enregistrements d’utilisateurs uniques, ainsi que des informations sensibles comme des adresses électroniques et des numéros de téléphone.
Meta prévoit des récompenses financières à partir de 500 dollars pour les vulnérabilités facilitant le scraping, et les rapports sur les bases de données scrapées seront assortis de dons à des organisations caritatives. Des retours d’information seront demandés aux “meilleurs” chasseurs de bugs de l’entreprise avant l’expansion.
Plus de 14 millions de dollars versés en 10 ans
Dan Gurfinkel a également décrit les progrès réalisés par l’entreprise en matière de bug bounty. Depuis 2011, année de lancement du programme, plus de 150 000 rapports ont été reçus, dont plus de 7 800 ont fait l’objet d’une prime. Au total, Meta a versé plus de 14 millions de dollars.
Au cours de l’année 2021, Meta a versé 2,3 millions de dollars à des chercheurs, pour 800 rapports de vulnérabilités, sur environ 25 000.
Au début du mois, Meta a également étendu son programme Facebook Protect, un service conçu pour renforcer la sécurité des comptes d’utilisateurs considérés comme présentant un risque plus élevé de compromission par des cyberattaques. D’ici la fin de l’année, Facebook Protect devrait être déployé dans plus de 50 pays. A l’instar de Google et de Microsoft, Meta propose ce service aux particuliers, notamment à des avocats, journalistes, activistes des droits humains et personnalités politiques.
Source : ZDNet.com
