Se présentant comme un diplômé en systèmes d'information actuellement sans emploi, Khalil Shreateh a découvert et rapporté à Facebook une vulnérabilité. Il escomptait ainsi empocher au moins 500 dollars dans le cadre du programme de Bug Bounty de Facebook - dénommé whitehat - mais son rapport a été refusé.

Comme il n'a pas obtenu l'attention désirée de l'équipe de sécurité du réseau social, le chercheur palestinien en sécurité a décidé de se faire mieux entendre et a fini par pirater la page Facebook de nul autre que son PDG et cofondateur, Mark Zuckerberg, en publiant un message sur son mur.

En faisant cela, Khalil Shreateh a violé les conditions d'utilisation du site et a définitivement ruiné ses chances d'obtenir une rétribution par Facebook.

Facebook a néanmoins comblé la faille. L'attitude du réseau social vis-à-vis de Khalil Shreateh a été sévèrement jugée par une partie de la communauté de la sécurité. Le célèbre hacker Marc Maiffret en tête, elle a réuni plus de 10 000 dollars pour le chercheur en sécurité palestinien.

Khalil-Shreateh-Marc-Maiffret

Lundi, le responsable de la sécurité chez Facebook a publié des explications sur cette affaire et a reconnu des erreurs dans la communication avec Khalil Shreateh.

" Nous recevons des centaines de soumissions par jour, et seulement un minuscule pourcentage d'entre elles sont des bugs légitimes. Nous avons été trop hâtifs et méprisants dans ce cas précis. Nous aurions dû expliquer à ce chercheur que ses premiers messages ne nous ont pas donné assez de détails pour nous permettre de reproduire le problème "

, écrit Joe Sullivan qui dit comprendre la frustration de Khalil Shreateh.

Des changements vont être apportés au programme whitehat. Pour autant, le responsable Facebook maintient qu'il n'est pas question de récompenser des " chercheurs qui ont testé des vulnérabilités sur des utilisateurs réels ", quels qu'ils soient. Une position que l'on peut aussi comprendre.

En dépit de la frustration éprouvée par Khalil Shreateh, on retiendra qu'il n'a pas fait un usage malveillant de sa découverte. Il aurait aussi pu être tenté par une vente de sa vulnérabilité sur le marché noir de la cybercriminalité.

Facebook a récemment indiqué avoir déboursé plus d'un million de dollars en un peu plus de deux ans avec son programme de chasse aux bugs. Sur les 329 chercheurs récompensés, certains ont gagné plus de 100 000 dollars chacun.