Des internautes lèvent 10 000$ pour aider le développeur palestinien qui a hacké Facebook

Un "white hat" hacker palestinien (un pirate bien intentionné qui remonte des bugs) est devenu, il y a deux jours, un héros dans son village de Yetta, au sud d’Hébron en Cisjordanie, après avoir hacké la page Facebook de Mark Zuckerberg afin de révéler un bug majeur.

Convaincu d’avoir découvert un faille de vulnérabilité, Khalil Shreateh contacte la sécurité de Facebook. Mais, malgré les preuves que Khalil apporte – il était parvenu à poster un message sur la page de Sarah Goodin, une camarade de classe de Harvard de Zuckerberg et première femme à avoir rejoint Facebook – la sécurité de Facebook l’ignore : « Je ne vois rien quand je clique sur ce lien, à part une erreur. »

Khalil ne baisse pas les bras ; après tout, comme il l’explique dans une interview à CNN, les conséquences de ce bug étaient bien plus graves pour Facebook qu’un message d’un inconnu sur un mur.

« C’est dangereux de trouver une façon de poster sur le mur d'inconnus, explique Khalil Shreateh. C’est extrêmement dangereux car cela permet à n’importe qui de laisser un message publicitaire visible à tous sans payer Facebook. » Si les spammers parviennent à poster des pubs comme bon leur semble, la régie publicitaire de Facebook en prendrait un coup.

Pour prouver ce bug, Khalil Shreateh décide alors de laisser un message sur le mur de Mark Zuckerberg : « D’abord désolé de briser votre vie privée et de poster sur votre mur, je n’ai pas d’autre choix après tous les rapports que j’ai envoyé à l’équipe Facebook. » (Vous pouvez lire l’histoire détaillée sur le blog de Khalil Shreateh en anglais et arabe). 


En quelques minutes, un ingénieur Facebook le contacte pour obtenir plus d’informations et bloque son compte. Son compte a, depuis, été réactivé mais Facebook refuse de récompenser le pirate comme c’est habituellement le cas quand des "white hat hackers" révèlent des bugs de vulnérabilité.

Matt Jones, de l’équipe technique de Facebook, explique à Hacker News que la démonstration initiale du bug était difficile à comprendre et que Khalil avait ensuite violé les conditions d’utilisation qui stipulent que les hackers doivent « s’efforcer de respecter la vie privée des utilisateurs » et « utiliser un compte test et non un vrai compte pour enquêter sur un bug. »

« Nous serons ravis de recevoir et de payer ses prochains rapports de bug (ainsi que ceux des autres pirates !) à condition qu’ils soient trouvés et mis en évidence dans le respect de ces directives, a conclu Matt Jones. »

Les 500$ de récompense minimum que ce pirate aurait pu recevoir aurait pu lui changer la vie : le taux de chômage à Yatta est de 22% et Khalil n’a pas été employé depuis deux ans. Le jeune palestinien a bien reçu des offres d’emploi de la part d’autres hackers mais il les a refusé, a t’il expliqué à CNN, car elles consistaient à profiter de ce bug. 

Mais la communauté des hackers a décidé de rectifier la situation. Marc Maiffret, directeur technologique de BeyondTrust, une des entreprises leaders de la gestion de la sécurité et du respect des règles, a lancé une campagne de crowdfunding pour aider Khalil Shreateh sur GoFundMe. 



Il n’a suffit que d’une journée pour dépasser l’objectif de 10 000$ qui avait été fixé. 

« Tous les fonds seront envoyés à Khalil Shreateh pour l'aider à mener ses futures recherches en sécurité, précise Marc Maiffret sur la page de GoFundMe. J'espère que cela a montré l'importance des chercheurs indépendants. Marc Maiffret est bien connu des hackers : après avoir piraté le logiciel de Microsoft à 17 ans et s’être fait réveiller, un pistolet pointé sur lui par les agents du FBI, il est devenu un ‘White Hat hacker’ (un pirate qui remonte des bugs) respecté.

Les membres de la communauté tech palestinienne, ont aussi pris la parole, le soutenant à la fois sur les communautés PalGeeks et Peeks

« Je suis fier des accomplissement des palestiniens … Je suis fier des hackers palestiniens… surtout les white hats, car je n’ai pas besoin de rationnaliser leurs actions », explique Tareeq Abdeen, un diplômé de la George Mason University vivant à Jérusalem-Est.

« C’est peut-être mal du point de vue de Facebook, mais poster sur le mur de Zuckerberg, c’est tout simplement géant… Ce mec est un génie. » explique Rasha Rasem Khatib, un des codeurs les plus reconnus en Palestine et qui travaille à développer une culture du code en Palestine, surtout auprès des femmes.

« Il devrait l’embaucher, ce serait bien mieux que de lui donner une récompense de 500$ » estime Lamees Abdeljalil, un diplomé de la Birzeit University. 

Il semblerait que Khalil va recevoir plus de reconnaissance et d’argent que ce que le programme Bug Bounty aurait pu lui apporté.

« With great power comes great responsibility. Merci d’avoir apporté les deux. » témoigne l’un des donateurs sur la page de la campagne GoFundMe.

Partager

Articles similaires