Cette affaire permet de savoir que les hackers n’ont pas tous de mauvaises intentions. Orange Tsaï a cherché une éventuelle faille du réseau social pour satisfaire sa curiosité vis-à-vis du programme de rétribution « Bug Bounty ». Cette curiosité lui a permis, en plus d’obtenir 10 000 dollars de récompenses, mais aussi de découvrir une vulnérabilité « déposée » par un hacker susceptible d’avoir un but malsain.
Pas d’inquiétude chez le géant du Sillicon Valley
Tsai a contribué à la sécurisation du réseau Interne de Facebook en lui révélant une faille de sécurité majeure. Après avoir obtenu ses 10 000 dollars de récompenses toutefois, il n’a pas hésité à encore prouver sa préoccupation sur l’efficacité de la politique sécuritaire du réseau social. En accédant au réseau interne du géant de Sillicon Valley en effet, il a trouvé une porte dérobée posée par un autre hacker venu avant lui. Et visiblement, ce dernier ne partage pas son sens étique, ayant utilisé son malware pour collecter et exfiltrer des mots de passe d’employés Facebook. Ce qui lui aurait permis de mettre la main sur des données sensibles.
Le réseau social ne semble toutefois pas s’en inquiéter. Un de ses dirigeants a même récemment avancé que cet autre hacker a également participé au programme Bounty. Le géant de Silicone Valley avait notamment précisé qu’il s’agissait d’un autre chercheur souhaitant aussi en connaître plus sur ce programme. Et aucun des deux n’est parvenu à « compromettre d’autres parties » de ses infrastructures. Un point de vue totalement compréhensible donc. L’entreprise américaine s’est même félicitée, par la voix de son ingénieur sécurité Reginaldo, de la sécurité de son réseau Interne, car « aucun des deux n’a été capable d’aller plus loin ».
Un hacker au comportement étrange
Cette explication ne suffit toutefois pas à enterrer les soupçons d’Orange Tsaï. Un chercheur compétent n’aurait pas en effet agi à la façon de ce hacker qui a installé une porte dérobée compromettant la sécurité du réseau interne de l’entreprise américaine. En plus de cela, rappelons que ce hacker est même allé plus loin, en collectant des mots de passe. Pourtant, dans le règlement du programme de rétribution « Bug Bounty », il est spécifié clairement qu’aucune personne ne doit exploiter une vulnérabilité trouvée dans le système ou commettre des infractions de confidentialité. Le hacker qui est venu devant le chercheur taïwanais a enfreint donc deux dispositions majeures de ce règlement. Est-ce suffisant pour dire qu’il est malveillant ? Difficile de répondre directement par l’affirmative. Il se peut en effet que ce hacker a seulement « dépassé les bornes » pour satisfaire sa curiosité. Il est également possible qu’il soit réellement malveillant, mais Facebook ne veut pas reconnaître que sa politique de sécurité n’est pas tellement efficace qu’elle en a l’air.
Il est important de le préciser en fin d’article, que la vulnérabilité ayant permis à Tsaï d’accéder au réseau interne de Facebook est développée par une société externe à l’entreprise, Accellion Secure File Transfer.
