Facebook publie chaque année une liste de hackers, appelés «White Hat Hackers», qui n’exploitent pas les vulnérabilités repérées à des fins malhonnêtes. La liste de 2013 compte 222 personnes. Celle de 2012 ne comptait que 122 et celle de 2011 seulement 52. Chacun d’eux reçoit une prime d’au moins 500 dollars.

Amine Cherrai, sollicité par l’équipe sécurité de Facebook

Après avoir signalé 5 bugs sur Facebook, ce Casablancais qui aura bientôt 26 ans, a rapporté 1 bug sur Google, 3 sur Linkedin, 1 sur Microsoft, 1 sur le site russe de vente de logiciel et solutions e-commerce Simbirsk Technologies (cs-cart), 1 sur The Ghost Foundation, 1 sur Maroc Télécommerce, 5 sur Maroc Traitement de transactions, 1 sur Hmall, 1 sur mamaille, 1 sur Kezakoo et 1 sur la FNEM.

Son nom figure non seulement sur la liste Hall of Fame de Facebook 2013, mais également sur celle de Google 2013.

«Je déteste l’école», nous confie-t-il d’emblée. C’est plus l’électronique et la robotique (microcontrôleur Arduino) qui le fascinent.

Fin février 2013, il a signalé un bug critique à Facebook qui lui permettait d'accéder à n'importe quel compte et d’obtenir l'autorisation complète d’accès au compte (lire la boîte de réception, regarder les photos, cliquer sur like, les commentaires, etc.). En effet, le bug était dans la façon dont Facebook permet aux applications, comme Farmville à titre d’exemple, d’accéder aux données des utilisateurs (profil public, liste d'amis et adresse mail).

Il développe son idée : « cette opération est basée sur le célèbre protocole appelé OAuth (autorisation ouverte), permet à un utilisateur de donner un accès à ses données personnelles, à un autre site web ou à une application. Il s’agit d’un "jeton d'accès", comme un mot de passe, qui permet l’accès au compte d'un utilisateur. Normalement, cela ne peut se faire sans l'autorisation de l'utilisateur.

Toutefois, Amine a découvert que certaines applications obtiennent cet accès sans l'autorisation de l'utilisateur. Ce sont les applications développées par Facebook comme Facebook Messenger pour Android. «Je ne me souvenais d’avoir pressé “OK, je suis d'accord“ lorsque j'ai installé Facebook Messenger sur mon samsung galaxy», se rappelle-t-il. Et de poursuivre : «Alors que je cherchais sur facebook et lisais leur documentation, j'ai découvert que je pouvais pirater le flux et obtenir ce jeton d'accès sans autorisation de l'utilisateur». Après de nombreux essais, Amine a finalement réussi et a construit son PoC (preuve de concept) pour exposer le bug à l’équipe sécurité de Facebook.

Il ne s’agit que du 1^er bug signalé parmi les 5. Le nom d’Amine figure parmi le top 10 White Hat.

Face à ce succès, il décide d'aider gratuitement des sites marocains spécialisés en e-commerce, «c'était peut-être la pire décision que j’ai prise cette année, mais je ne la regrette pas», commente-t-il. Après cette expérience, il estime que les propriétaires des sites marocains de e-commerce ne se soucient pas suffisamment de la sécurité et la confidentialité des utilisateurs. «La sécurité des sites doit-être repensée», juge-t-il.

En novembre 2013, il reçu une offre d’emploi de Facebook, pour rejoindre leur équipe de sécurité. Par ailleurs, il est invité en 2014 à un atelier «Web 2 Sécurité et confidentialité» dont il est membre du comité, qui se tiendra à San Jose, en Californie.  Mais il ne sait pas encore s’il donnera suite à l’offre d’emploi de Facebook.

Faouzi Jouti, entre informatique et intelligence artificielle

Il est né à Marrakech en 1993. Il nous confie être fasciné par le monde technologique depuis sont enfance. A 15 ans, il s’est lancé dans le domaine des logiciels et a entamé une série d’apprentissages en ligne de quelques langages de programmation. Deux ans plus tard, il fait du freelance, tout en gardant de «bonne prestation scolaire», nous raconte-t-il.

En 2011, il a obtenu son baccalauréat en sciences physiques. Il intègre ensuite l’Université Al Akhawayn  d’Ifrane où il se spécialise en ingénierie informatique.

En 2012, il est en phase finale au concours Google Apps Challenge grâce à un projet éducatif. Peu de temps après, il participe à un autre concours de grande envergure, NASA Apps challenge et décroche la 2^ème place grâce à une application qui prédit les zones rentables en termes d’énergies renouvelables dans le monde.

En 2013, il s’est tourné vers l’autoformation en sécurité web, tout «en gardant un œil sur la programmation et développement de logiciels», nous dit-il.  Il décide donc de mettre ses connaissances théoriques en pratique. Il découvre ainsi des bugs dans le jeu populaire «Criminal Case» sur Facebook, ensuite quelques failles sur le site de France 3, notamment sur leur jeu en ligne «Questions pour un champion».

Quelques mois plus tard, alors qu’il aide un ami à associer son numéro de téléphone à Facebook, il constate que le module de téléphonie de Facebook n’était pas très stable. Il mène alors des investigations approfondies sur son fonctionnement. En modifiant des données « POST » et  « GET » il a réussi à ajouter ou supprimer n’importe quel numéro de téléphone de n’importe quel compte Facebook sans y avoir accès.

«Cela pouvait entraîner la désactivation d’une mesure de sécurité très importante sur Facebook, connue sous le nom de «l’approbation de connexion», nous explique-t-il. Et poursuit : «cette option de sécurité faisait en sorte que Facebook envoie un code sur le téléphone de l’abonné lors d’une connexion à son compte depuis un navigateur non reconnu. Cela voulait dire que les pirates informatiques ne pouvaient pas accéder à son compte même s’ils disposent du mot de passe». Ce bug pouvait immédiatement désactiver cette option en supprimant le numéro associé aux comptes Facebook. Il a immédiatement contacté les responsables de Facebook pour vérifier et corriger ce bug. Au bout d’un mois, il a pu inscrire son nom sur le «Hall Of Fame» de ce géant mondial.

De plus, en novembre dernier, Faouzi a participé au Google Cloud Challenge, et pour la seconde fois, il s’est qualifié pour la phase finale en étant le seul représentant du Maroc dans cette compétition. Il est également un (mini) chercheur enintelligence artificielle qui a développé deux projets en ce sens. Le premier est un projet d'application qui peut résoudre n'importe quel problème en texte en maths et physique. Le second porte sur l’«Image recognition», nouvelle méthode pour reconnaitre les personnes à travers leurs photos.