Facebook a lancé son programme de Bug Bounty en août 2011. Une telle initiative consiste à rémunérer des chercheurs en sécurité pour la découverte et la soumission de vulnérabilités.
En 2013, Facebook a reçu 14 763 soumissions dans le cadre de son Bug Bounty, soit une augmentation de 246 % par rapport à 2012. Sur ces soumissions, seules 687 ont été validées et ont fait l'objet d'une rémunération, et 6 % d'entre elles ont eu trait à des bugs jugés réellement graves. Le montant moyen d'une récompense a été de 2 204 $.
Au total, Facebook aura déboursé plus de 1,5 million de dollars qui sont allés dans les poches de 330 chercheurs en sécurité dans le monde. Les hackers en Inde sont ceux qui ont le plus contribué en dénichant 136 bugs valides mais ce sont les hackers russes qui ont obtenu le plus haut niveau de rémunération avec une moyenne de 3 961 $ pour chacun des 38 bugs signalés.
Entre la lecture d'un rapport et la mise en place d'une correction initiale pour un bug critique, Facebook indique avoir mis en moyenne 6 heures.
Le réseau social affirme que pour ce début d'année, le nombre de bugs critiques est à la baisse. Selon les commentaires des chercheurs en sécurité, il devient de plus en plus difficile de trouver des bugs exploitables.
Pas sûr donc qu'en 2014 Facebook déboursera autant d'argent qu'en 2013. Mais comme le réseau social montre un gros appétit dans le rachat de startups, le champ de son Bug Bounty est amené à s'étendre.
