Les géants du web se montrent généralement conciliants envers les développeurs qui arrivent à dénicher des failles dans leurs systèmes de sécurité, les « GAFA » étant potentiellement sujets à des piratages qui pourraient être terriblement dommageables pour eux et leurs usagers.

Le piratage de Snapchat en est ainsi l’exemple le plus probant. Facebook, de son côté, a déjà vu certaines de ses failles être révélées. Idem pour l’une de ses propriétés, le service de messagerie WhatsApp.

Un chercheur serait allé trop loin

Instagram, autre propriété de la startup de Mark Zuckerberg, vient de connaître pareil épisode. Mais cette fois, la personne qui a découvert un talon d’Achille dans la sécurité du réseau de partage de photos n’a pas été spécialement félicitée par les propriétaires de l’appli…

Grâce à son travail, Wes Wineberg, chercheur en sécurité, a pu récupérer de nombreuses informations, comme les identifiants des utilisateurs et des employés, et surtout les clés lui permettant de pénétrer dans les 82 instances de stockage du réseau social.

>> A lire aussi: Un chercheur découvre une faille qui permet d’effacer toutes les photos sur Facebook

Ainsi donc, Wes Wineberg aurait pu accéder à la totalité des photos et vidéos chargées par les utilisateurs. Seulement voilà, Facebook considère que ce génie du décryptage est allé beaucoup trop loin dans son investigation. L’homme n’avait pas besoin d’aller jusqu’à accéder aux données des utilisateurs pour prouver l’existence de cette faille.

Bientôt un cadre d'investigation pour les chercheurs ?

Selon Alex Stamos, responsable de la sécurité chez Facebook, Wes Wineberg ne se serait pas satisfait des 2.500 dollars de récompense que lui aurait promis Facebook suite à sa découverte. Il aurait alors poussé son enquête jusqu’à mettre inutilement en danger les données personnelles des utilisateurs.

Alex Stamos pose alors la question de la définition d’un cadre d’investigation pour les chercheurs, afin d’éviter que ceux-ci n’exfiltrent des « quantités non nécessaires de données personnelles dans le cadre d’une recherche de bug », selon des propos repris par NextInpact.

« "[il avait acces a] rien de moins que la totalité de ce qu’Instagram pouvait héberger" ... c'est pas rien ! https://t.co/yAACEHaIXn — IT integrity (@it_integrity) December 20, 2015 »