L'été dernier, Facebook a indiqué avoir déboursé plus d'un million de dollars dans le cadre de son programme de Bug Bounty. Une chasse aux bugs de sécurité qui récompense les découvreurs de vulnérabilités dûment rapportées.

bug Ce million de dollars a été réparti entre 329 personnes dont certaines ont pu cumuler plus de 100 000 dollars. Pour un seul bug de sécurité, un chercheur britannique a reçu 20 000 dollars. Un record qui vient d'être battu. Un ingénieur en informatique brésilien, Reginaldo Silva, a en effet reçu 35 000 dollars pour sa trouvaille.

Le bug en question est en relation avec le code utilisé pour le système d'authentification OpenID qui permet à des utilisateurs de se connecter à plusieurs services en ligne en utilisant les mêmes identifiants.

Reginaldo Silva parle d'une vulnérabilité XEE - pour XML External Entity - sur https://www.facebook.com/openid/receiver.php dont l'exploitation aurait pu permettre à un attaquant de lire des fichiers arbitraires sur le serveur Web.

Autrement dit, la possibilité d'une exploitation à distance et un accès à presque n'importe quel fichier sur les serveurs Web de Facebook. Les explications de Facebook sont données sur cette page. Reginaldo Silva entre plus dans les détails sur son site.

Les investigations de Facebook ont permis d'identifier un autre problème et ont confirmé qu'il n'y avait pas eu d'exploitation ou d'utilisation malveillante. Entre l'alerte de Reginaldo Silva déclenchée en novembre dernier et l'action correctrice engagée par Facebook, il ne s'est déroulé que quelques heures.

Reginaldo Silva avait mis le doigt sur le bug XEE dès septembre 2012 sans toutefois en découvrir toutes les implications comme pour Facebook. Il avait notamment prévenu Google dont les plateformes App Engine et Blogger étaient vulnérables à des attaques par déni de service. Cela lui avait valu une récompense de 500 dollars.

Comme le bug touche OpenID, il n'est pas exclu que d'autres serveurs soient actuellement toujours vulnérables.