Lorsqu’une nouvelle technologie apparaît, les cybercriminels et les fraudeurs s’y intéressent presque immédiatement pour voir ce qu’elle peut leur apporter.
Les smartphones et l’internet des objets, pour ne citer qu’eux, font de plus en plus partie de notre mode de vie – et toutes ces technologies sont la cible de pirates malveillants qui cherchent à voler des mots de passe, des informations personnelles, des coordonnées bancaires, et bien plus encore.
A mesure que le metaverse et la réalité virtuelle émergent comme une nouvelle façon de vivre, de travailler et de se divertir en ligne, ces plateformes deviendront rapidement la cible des cybercriminels désireux de trouver et d’exploiter les vulnérabilités du matériel et des logiciels, ou peut-être d’utiliser la technologie pour servir leurs escroqueries.
Aujourd’hui, Meta, propriétaire de Facebook, qui investit des sommes considérables dans ses projets de construction de metaverse, veut devancer les pirates en demandant aux chercheurs en sécurité d’identifier les vulnérabilités et les problèmes des produits liés aux metaverses, tels que Meta Quest, Meta Quest Pro et Meta Quest Touch Pro. Les récompenses pour les découvertes de vulnérabilités pourront atteindre des centaines de milliers de dollars.
Se familiariser avec le matériel
Facebook a mis en place un programme de bug bounty pour ses applications web depuis 2011, mais bien que le metaverse soit un pilier clé de la stratégie commerciale de Meta, l’entreprise est encore relativement nouvelle dans le développement de matériel.
En encourageant des experts en cybersécurité à « pirater » le metaverse, l’entreprise cherche à améliorer la sécurité de ses produits pour tous.
« L’une de nos priorités est d’intégrer davantage la communauté de chercheurs externes avec nous dans notre voyage pour sécuriser le metaverse. Comme il s’agit d’un espace relativement nouveau pour beaucoup, nous nous efforçons de rendre la technologie plus accessible aux chasseurs de bugs et de les aider à soumettre des rapports valides plus rapidement », explique Neta Oren, responsable des analystes de sécurité et du programme de bug bounty chez Meta.
Une partie de la stratégie qui sous-tend ce travail consiste à faire connaître les casques de réalité virtuelle de Meta aux chercheurs en sécurité et aux hackers éthiques, ce qui a été fait avec Meta BountyCon, une conférence sur la sécurité axée sur le bug bounty qui permet aux chasseurs de bugs de se familiariser avec les produits.
Des récompenses variées à la clé
Meta a mis à jour ses termes de bug bounty pour souligner que ses derniers produits, Meta Quest Pro et les contrôleurs Meta Quest Touch Pro, sont éligibles pour le programme de bug bounty, et ajouté de nouvelles directives de paiement pour les technologies de réalité virtuelle, y compris les bugs spécifiques à Meta Quest Pro.
Et pour ceux qui découvrent des failles de sécurité dans la technologie de réalité virtuelle et de metaverse de Meta, les récompenses financières peuvent atteindre des centaines de milliers de dollars.
Les règles relatives aux paiements détaillent comment les paiements pour la découverte de failles d’exécution de code à distance sur les mobiles – des vulnérabilités qui pourraient permettre à un attaquant d’exécuter un logiciel malveillant ou de prendre le contrôle d’un appareil – pourraient atteindre 300 000 dollars, tandis que les chercheurs qui découvrent des vulnérabilités de prise de contrôle de compte pourraient être récompensés jusqu’à 130 000 dollars.
Si les récompenses financières sont élevées, c’est parce que Meta souhaite encourager les hackers éthiques qui n’ont peut-être jamais regardé les offres de réalité virtuelle de l’entreprise. « Nous voulons aider les chercheurs à prioriser leurs efforts et à se concentrer sur certains des domaines les plus importants de notre plateforme », souligne Neta Oren.
Le système de bug bounty a déjà permis la divulgation de plusieurs vulnérabilités jusqu’alors inconnues.
Des failles déjà corrigées
Une divulgation soumise à la BountyCon a révélé un problème dans le flux oAuth de Meta Quest – une norme ouverte utilisée pour permettre aux sites web ou aux applications d’accéder aux informations des utilisateurs sur d’autres sites web – qui aurait pu permettre à un attaquant de prendre le contrôle du jeton d’accès d’un utilisateur et de son compte en deux clics seulement.
« Nous avons corrigé ce problème, et notre enquête n’a trouvé aucune preuve d’abus. Nous avons récompensé ce rapport d’un montant total de 44 250 dollars, ce qui reflète l’impact de la vulnérabilité », indique Neta Oren.
Un autre chercheur a reçu 27 200 dollars après avoir découvert une vulnérabilité qui aurait pu permettre à un attaquant de contourner le système 2FA basé sur les SMS en exploitant un problème de limitation de débit pour forcer le code de vérification requis pour confirmer le numéro de téléphone d’une personne. La vulnérabilité a également été corrigée après sa divulgation.
Ces vulnérabilités n’auraient peut-être pas été découvertes – du moins pas aussi rapidement – sans le système de bug bounty, que Meta souhaite continuer à développer.
« Nous accueillons favorablement toute contribution de la communauté externe afin d’avoir autant d’yeux que possible sur le code, de continuer à tester nos produits et de les rendre plus sûrs », note Neta Oren.
Communauté de recherche vertueuse
Le programme de bug bounty pour le metaverse suit les traces des autres programmes existants de Meta, dont certains sont en place depuis une décennie. La société dispose également d’une série d’équipes chargées de la sécurité de l’information pour s’assurer que le metaverse et les autres plateformes de Meta sont aussi sûrs que possible contre les cybermenaces.
Il s’agit notamment d’examens de la sécurité des produits, d’une équipe de modélisation des menaces, d’une équipe d’attaquants effectuant des tests de pénétration contre l’entreprise, et bien d’autres choses encore, qui s’ajoutent au programme de chasse aux bugs. Meta conjugue tous ces efforts afin de garantir que tout produit publié soit aussi sûr que possible contre le plus grand nombre de menaces possible.
« Ce sont toutes les choses que nous avons apprises au fil des ans et que nous appliquons lorsque nous construisons de nouveaux produits, de sorte que les nouveaux produits intègrent déjà toutes ces mesures », précise Neta Oren.
Une fois que les nouvelles vulnérabilités, qui sont divulguées, ont été examinées et atténuées, des mises à jour de sécurité sont déployées sur les produits. Pour s’assurer que les mises à jour de sécurité qui corrigent les vulnérabilités sont appliquées, les produits VR de Meta vérifient automatiquement les mises à jour au lancement et les appliquent ensuite.
« Nous partageons ces vulnérabilités publiquement pour que tous les acteurs du secteur puissent en tirer des enseignements. Il est courant qu’une fois qu’une grande entreprise publie ce genre de choses, les autres entreprises cherchent en interne quelque chose de similaire », explique Neta Oren. Et comme les chercheurs externes ne sont pas limités aux produits Meta, s’ils trouvent quelque chose dans le Meta Quest Pro ou un autre appareil Meta, ils sont également susceptibles d’examiner des produits similaires construits par d’autres.
« Nous savons que nos chercheurs ne chassent pas seulement sur Meta. Donc, s’ils trouvent une faille chez nous, ils peuvent aller la chercher chez nos concurrents et le leur signaler également », indique Neta Oren. « C’est pourquoi nous pensons que l’éducation est si importante, car les chercheurs, tout ce qu’ils apprennent avec nous, ils le mettront en œuvre pour d’autres entreprises lorsqu’ils chassent les bugs », ajoute-t-elle.
Source : ZDNet.com
(function(d, s, id) { var js, fjs = d.getElementsByTagName(s)[0]; if (d.getElementById(id)) return; js = d.createElement(s); js.id = id; js.src = "//connect.facebook.net/fr_FR/all.js#appId=243265768935&xfbml=1"; fjs.parentNode.insertBefore(js, fjs); }(document, 'script', 'facebook-jssdk'));