Lorsqu’une nouvelle technologie émerge, les cybercriminels et les fraudeurs vont presque immédiatement jeter un coup d’œil pour voir ce qu’il y a dedans pour eux.
L’Internet, les smartphones et l’Internet des objets font de plus en plus partie de notre mode de vie – et toutes ces technologies sont ciblées par des pirates malveillants qui cherchent à voler des mots de passe, informations personnelles, coordonnées bancaireset plus.
Alors, comme le métaverse et la réalité virtuelle émergent comme une nouvelle façon de vivre, travailler et se détendre sur Internetces plates-formes deviendront également rapidement la cible des cybercriminels, désireux de trouver et d’exploiter les vulnérabilités du matériel et des logiciels ou peut-être d’utiliser la technologie pour soutenir leurs escroqueries.
Aujourd’hui, le propriétaire de Facebook, Meta, qui investit d’énormes sommes dans ses projets de création de métaverse, veut devancer les pirates en demandant aux chercheurs en sécurité d’identifier les vulnérabilités et les problèmes des produits liés à la métaverse, tels que Meta Quest, Meta Quest Pro et Meta Quest Touch Proavec des divulgations authentiques récompensées par des paiements de primes de bogue qui s’élèvent potentiellement à des centaines de milliers de dollars.
Facebook gère un programme de primes de bogues pour ses applications Web depuis 2011mais bien que le métaverse soit un pilier clé de la stratégie commerciale de Metala société est encore relativement nouvelle dans le développement de matériel.
Aussi: Le métaverse arrive et les menaces de sécurité sont déjà arrivées
Cependant, en encourageant les experts en cybersécurité extérieurs à Meta à pirater le métaverse, l’entreprise cherche à améliorer la sécurité des produits pour tous.
« L’une de nos priorités est d’intégrer davantage la communauté de recherche externe avec nous dans notre voyage pour sécuriser le métaverse. Parce qu’il s’agit d’un espace relativement nouveau pour beaucoup, nous travaillons pour rendre la technologie plus accessible aux chasseurs de bogues et pour les aider. soumettre des rapports valides plus rapidement », explique Neta Oren, responsable des analyses de sécurité et responsable des primes de bogues chez Meta.
Une partie de la stratégie derrière ce travail consiste à mettre les casques de réalité virtuelle de Meta devant les chercheurs en sécurité et les pirates, y parvenir avec Meta BountyCon, une conférence sur la sécurité axée sur les primes de bogues qui permet aux chasseurs de se familiariser avec les produits.
L’événement le plus récent a mis l’accent sur les menaces émergentes dans l’espace VR, quelque chose qu’Oren décrit comme un mouvement intentionnel vers « l’objectif de rendre l’ensemble de l’industrie plus sûre ».
Meta a mis à jour ses conditions de prime de bogue pour souligner que ses derniers produits, Meta Quest Pro et les contrôleurs Meta Quest Touch Pro, sont éligibles au programme de prime de bogue, et a ajouté de nouvelles directives de paiement pour la technologie VR, y compris les bogues spécifiques à Meta Quest Pro .
Et pour ceux qui trouvent des failles de sécurité dans la technologie de réalité virtuelle et de métaverse de Meta, il existe des récompenses financières pour des primes de bogues pouvant atteindre des centaines de milliers de dollars.
Entre autres, les directives de paiement détaillent comment les paiements pour la découverte de bogues d’exécution de code à distance mobile – des vulnérabilités qui pourraient permettre à un attaquant d’exécuter des logiciels malveillants ou de prendre le contrôle d’un appareil – pourraient atteindre 300 000 $, tandis que les chercheurs qui découvrent des vulnérabilités de prise de contrôle de compte pourraient être récompensés jusqu’à 130 000 $.
Les récompenses financières sont élevées car Meta veut encourager les pirates informatiques qui n’ont peut-être jamais consulté les offres de réalité virtuelle de l’entreprise auparavant.
« Nous voulons aider les chercheurs à hiérarchiser leurs efforts et à se concentrer sur certains des domaines les plus percutants de notre plateforme », déclare Oren.
Le programme de primes de bogues a déjà entraîné la divulgation de plusieurs vulnérabilités non découvertes auparavant.
Une divulgation soumise à BountyCon a révélé un problème dans le flux oAuth de Meta Quest – une norme ouverte utilisée pour accorder aux sites Web ou aux applications l’accès aux informations de l’utilisateur sur d’autres sites Web, ce qui aurait pu conduire un attaquant à prendre le contrôle du jeton d’accès d’un utilisateur et le contrôle de leur compte, en deux clics seulement
« Nous avons résolu ce problème, et notre enquête n’a trouvé aucune preuve d’abus et nous avons récompensé ce rapport d’un total de 44 250 $, ce qui reflète l’impact de la vulnérabilité », déclare Oren.
Un autre chercheur a reçu 27 200 $ après avoir découvert une vulnérabilité qui aurait pu permettre à un attaquant de contourner la 2FA basée sur SMS en exploitant un problème de limitation de débit pour forcer brutalement la broche de vérification requise pour confirmer le numéro de téléphone de quelqu’un. La vulnérabilité a également été corrigée après la divulgation.
Ces vulnérabilités n’auraient peut-être pas été découvertes – du moins pas aussi rapidement – sans le programme de primes de bogues, c’est pourquoi, pour Meta, il est important de continuer à l’étendre.
« Nous accueillons toute contribution de la communauté externe pour attirer autant d’yeux que possible sur le code, continuer à tester nos produits et les rendre plus sûrs », déclare Oren.
Le programme de primes de bogues pour le métaverse suit les traces des autres programmes de primes de bogues de Meta, dont certains fonctionnent depuis une décennie – et la société dispose également d’une gamme d’équipes de sécurité de l’information pour aider à garantir que le métaverse et les autres plates-formes de Meta sont aussi protégés que possible contre les cybermenaces.
Ils comprennent des examens de sécurité des produits, une équipe de modélisation des menaces, une équipe rouge exécutant des tests d’intrusion contre l’entreprise, et plus encore, qui s’ajoutent au programme de primes aux bogues. Tous ces efforts sont réunis pour Meta afin de garantir que tout produit publié est aussi sécurisé contre autant de menaces que possible.
« Ce sont toutes des choses que nous avons apprises au fil des ans et que nous appliquons lorsque nous construisons de nouveaux produits, de sorte que les nouveaux produits intègrent déjà tout cela », déclare Oren.
Aussi: Cybersécurité : ce sont les nouveautés dont il faut s’inquiéter en 2023
Une fois que de nouvelles vulnérabilités, qui sont divulguées dans le cadre du programme de primes de bogues, ont été étudiées et atténuées, des mises à jour de sécurité sont déployées sur les produits. Pour s’assurer que les mises à jour de sécurité qui corrigent les vulnérabilités sont appliquées, les produits VR de Meta vérifient automatiquement les mises à jour au lancement, puis les appliquent.
« Nous partageons ces bogues publiquement pour nous assurer que tout le monde dans l’industrie peut apprendre de nous. Il est courant qu’une fois qu’une grande entreprise publie ce genre de choses, d’autres entreprises recherchent en interne quelque chose de similaire », explique Oren.
Et parce que les chercheurs extérieurs ne se limitent pas à regarder les produits Meta, s’ils trouvent quelque chose dans Meta Quest Pro ou un autre appareil Meta, ils sont également susceptibles de regarder des produits similaires construits par d’autres.
« Nous savons que nos chercheurs ne chassent pas seulement sur Meta. Donc, s’ils trouvent un bogue chez nous, ils pourraient alors aller le chercher chez nos concurrents et ils le leur signaleront également », explique Oren.
« C’est pourquoi nous pensons que l’éducation est si importante parce que les chercheurs, quoi qu’ils apprennent avec nous, ils le mettront en œuvre pour d’autres entreprises pendant qu’ils chassent », dit-elle.
