Meta souhaite renforcer la sécurité de ses produits matériels. Ainsi, l’entreprise a annoncé de nouvelles directives pour son programme Bug Bounty, spécifiant l’inclusion du casque Quest Pro et des contrôleurs Touch Pro. Elle est prête à verser jusqu’à 45 000 $ pour les chercheurs en sécurités qui découvrent des bogues spécifiques.
Comme certaines autres entreprises technologiques, Meta gère un programme Bug Bounty. Celui-ci encourage les pirates chercheurs en sécurité à sonder ses produits pour détecter les vulnérabilités en échange d’un paiement.
Meta exécute le programme Bug Bounty depuis un certain temps sur divers produits. Mais aujourd’hui, la société a ajouté de nouvelles directives de paiement spécifiques à ses produits VR. Et cela intègre le Quest Pro et les contrôleurs Touch Pro, ainsi que le Quest 2, le Quest 1 et de nombreux autres produits de la société.
Selon les directives, Meta offre jusqu’à 45 000 $ pour les exploits majeurs sur ses produits matériels (comme l’exécution de code à distance sur un casque). Il versera entre 500 $ et 3 000 $ pour les exploits mineurs (comme faufiler une application autour des paramètres d’autorisation de l’utilisateur).
Différentes classes d’exploits pour le programme Bug Bounty
Les directives détaillent comment Meta évaluera les différentes classes d’exploits et comment leur gravité déterminera le paiement. La société affirme qu’elle prendra en considération une série de facteurs. Cela inclut les découvertes qui pourraient « potentiellement entraîner des risques pour la santé et la sécurité physiques et la confidentialité ».
L’un des ajouts les plus intéressants d’appareils inclus dans le programme Bug Bounty est sûrement les contrôleurs Touch Pro. En ce qui concerne les casques VR de Meta, il s’agit d’une toute nouvelle classe d’appareils. On compte essentiellement un petit ordinateur capable de suivre sa propre position grâce à trois caméras embarquées. Aucun des casques VR antérieurs de la société n’avait de contrôleurs aussi sophistiqués. Et il sera intéressant de voir s’ils ouvrent la porte à de nouvelles vulnérabilités de sécurité.
Dans un article de blog racontant la dernière année du programme Bug Bounty de la société, Meta dit avoir versé environ 2 millions de dollars à des chercheurs en sécurité cette année. La société affirme avoir reçu environ 10 000 signalements en 2022. L’entreprise a déterminé que 750 (7,5 %) étaient éligibles à un paiement. Cela fait que le paiement de prime moyen pour 2022 est d’environ 2 700 $ par bogue éligible.
- Partager l'article :