Pirater le métavers : Meta veut que vous trouviez les failles de ses nouveaux casques d’écoute.

Meta veut que les dispositifs de réalité virtuelle soient protégés contre les cyberattaques et les failles de sécurité. C’est pourquoi elle invite les pirates à s’initier aux casques VR et à d’autres dispositifs.

Lorsqu’une nouvelle technologie émerge, les cybercriminels et les fraudeurs y jettent presque immédiatement un coup d’œil pour voir ce qu’elle peut leur rapporter.

L’internet, les smartphones et l’internet des objets font de plus en plus partie de notre mode de vie – et toutes ces technologies sont la cible de pirates malveillants qui cherchent à voler des mots de passe, des informations personnelles, des coordonnées bancaires, etc.

Ainsi, alors que les métavers et la réalité virtuelle émergent comme une nouvelle façon de vivre, de travailler et de se détendre sur Internet, ces plateformes deviendront aussi rapidement la cible des cybercriminels, désireux de trouver et d’exploiter les vulnérabilités du matériel et des logiciels ou peut-être d’utiliser la technologie pour soutenir leurs escroqueries.

Aujourd’hui, Meta, propriétaire de Facebook, qui investit des sommes considérables dans ses projets de construction de métavers, veut devancer les pirates en demandant aux chercheurs en sécurité d’identifier les vulnérabilités et les problèmes des produits liés aux métavers, tels que Meta Quest, Meta Quest Pro et Meta Quest Touch Pro, les divulgations authentiques étant récompensées par des primes de bogues pouvant atteindre des centaines de milliers de dollars.

Facebook a mis en place un programme de primes aux bugs pour ses applications Web depuis 2011, mais bien que le métavers soit un pilier essentiel de la stratégie commerciale de Meta, l’entreprise est encore relativement nouvelle dans le développement de matériel.

Aussi : Le métavers arrive et les menaces de sécurité sont déjà là.

Cependant, en encourageant des experts en cybersécurité extérieurs à Meta à pirater le métavers, l’entreprise cherche à améliorer la sécurité des produits pour tous.

« L’une de nos priorités est d’intégrer davantage la communauté de recherche externe avec nous dans notre voyage pour sécuriser le métavers. Étant donné qu’il s’agit d’un espace relativement nouveau pour beaucoup, nous nous efforçons de rendre la technologie plus accessible aux chasseurs de bogues et de les aider à soumettre des rapports valides plus rapidement », explique Neta Oren, responsable des analystes de sécurité et des primes aux bogues chez Meta.

Une partie de la stratégie qui sous-tend ce travail consiste à faire connaître les casques de réalité virtuelle de Meta aux chercheurs en sécurité et aux pirates informatiques, ce qu’ils font avec Meta BountyCon, une conférence sur la sécurité axée sur les primes de bogues qui permet aux chasseurs de bogues de se familiariser avec les produits.

L’événement le plus récent a mis l’accent sur les menaces émergentes dans l’espace RV, ce qu’Oren décrit comme un mouvement intentionnel vers « l’objectif de rendre l’ensemble de l’industrie plus sûre ».

Meta a mis à jour ses conditions de prime de bogue pour souligner que ses derniers produits, Meta Quest Pro et les contrôleurs Meta Quest Touch Pro, sont éligibles pour le programme de prime de bogue, et a ajouté de nouvelles directives de paiement pour la technologie VR, y compris les bogues spécifiques à Meta Quest Pro.

Et pour ceux qui trouvent des failles de sécurité dans la technologie de réalité virtuelle et de métavers de Meta, il existe des récompenses financières pour les primes de bogues qui peuvent atteindre des centaines de milliers de dollars.

Entre autres choses, les directives de paiement détaillent comment les paiements pour la découverte de bogues d’exécution de code à distance sur les mobiles – des vulnérabilités qui pourraient permettre à un attaquant d’exécuter un logiciel malveillant ou de prendre le contrôle d’un appareil – pourraient atteindre 300 000 dollars, tandis que les chercheurs qui découvrent des vulnérabilités de prise de contrôle de compte pourraient être récompensés jusqu’à 130 000 dollars.

Si les récompenses financières sont élevées, c’est parce que Meta souhaite encourager les pirates informatiques qui n’ont peut-être jamais regardé les offres de réalité virtuelle de l’entreprise.

« Nous voulons aider les chercheurs à prioriser leurs efforts et à se concentrer sur certains des domaines les plus importants de notre plateforme », explique Oren.

Le système de primes aux bugs a déjà permis la divulgation de plusieurs vulnérabilités jusqu’alors inconnues.

Une divulgation soumise à la BountyCon a mis en évidence un problème dans le flux oAuth de Meta Quest – un standard ouvert utilisé pour permettre aux sites web ou aux applications d’accéder aux informations des utilisateurs sur d’autres sites web – qui aurait pu permettre à un attaquant de prendre le contrôle du jeton d’accès d’un utilisateur et de son compte, en deux clics seulement.

« Nous avons corrigé ce problème, et notre enquête n’a trouvé aucune preuve d’abus. Nous avons récompensé ce rapport d’un montant total de 44 250 dollars, ce qui reflète l’impact de la vulnérabilité », déclare Oren.

Un autre chercheur a reçu 27 200 dollars après avoir découvert une vulnérabilité qui aurait pu permettre à un attaquant de contourner le système 2FA basé sur les SMS en exploitant un problème de limitation de débit pour forcer le code de vérification requis pour confirmer le numéro de téléphone d’une personne. La vulnérabilité a également été corrigée après sa divulgation.

Ces vulnérabilités n’auraient peut-être pas été découvertes – du moins pas aussi rapidement – sans le système de primes aux bugs, c’est pourquoi, pour Meta, il est important de continuer à le développer.

« Nous accueillons favorablement toute contribution de la communauté externe afin d’avoir autant d’yeux que possible sur le code, de continuer à tester nos produits et de les rendre plus sûrs », déclare Oren.

Le programme de primes aux bugs pour le métavers suit les traces des autres programmes de primes aux bugs de Meta, dont certains sont en place depuis une décennie – et la société dispose également d’une série d’équipes de sécurité de l’information pour aider à garantir que le métavers et les autres plateformes de Meta sont aussi sûrs que possible contre les cybermenaces.

Il s’agit notamment d’examens de sécurité des produits, d’une équipe de modélisation des menaces, d’une équipe rouge qui effectue des tests de pénétration contre l’entreprise, et plus encore, le tout en plus du programme de primes aux bugs. Tous ces efforts se conjuguent pour Meta afin de garantir que tout produit publié est aussi sûr que possible contre le plus grand nombre de menaces possible.

« Ce sont toutes les choses que nous avons apprises au fil des ans et que nous appliquons lorsque nous créons de nouveaux produits, de sorte que les nouveaux produits intègrent déjà toutes ces mesures », explique Oren.

Une fois que les nouvelles vulnérabilités, qui sont divulguées dans le cadre du système de primes aux bugs, ont été examinées et atténuées, les mises à jour de sécurité sont déployées dans les produits. Pour s’assurer que les mises à jour de sécurité qui corrigent les vulnérabilités sont appliquées, les produits VR de Meta vérifient automatiquement les mises à jour au moment du lancement et les appliquent ensuite.

« Nous partageons ces bogues publiquement pour que tous les acteurs du secteur puissent en tirer des enseignements. Il est courant qu’une fois qu’une grande entreprise publie ce genre de choses, les autres entreprises cherchent en interne quelque chose de similaire », explique Oren.

Et comme les chercheurs externes ne sont pas limités aux produits Meta, s’ils trouvent quelque chose dans le Meta Quest Pro ou un autre appareil Meta, ils sont également susceptibles d’examiner des produits similaires construits par d’autres.

« Nous savons que nos chercheurs ne chassent pas seulement sur Meta. Donc, s’ils trouvent un bogue chez nous, ils pourraient ensuite aller le chercher chez nos concurrents et ils le leur signaleront également », explique Oren.

« C’est pourquoi nous pensons que l’éducation est si importante, car les chercheurs, tout ce qu’ils apprennent avec nous, ils le mettront en œuvre pour d’autres entreprises pendant qu’ils chassent », ajoute-t-elle.

 

WP Twitter Auto Publish Powered By : XYZScripts.com