L'histoire a été racontée par le journal finlandais Iltalehti, puis largement relayée par la presse mondiale, après que Forbes (qui possède visiblement dans sa rédaction un journaliste qui parle finnois) l'eut repérée. Un garçon de 10 ans du nom de Jani est devenu le plus jeune récipiendaire du « Bounty Program » de Facebook, un système qui « récompense » financièrement toute personne signalant discrètement une vulnérabilité informatique sérieuse et vérifiée.

Le jeune Finlandais a découvert une faille qui lui permettait d'effacer n'importe quel commentaire sur Instagram. Dans le jargon, on appelle ça une « vulnérabilité zero day » : une faille logicielle qui n’a pas encore été découverte par le fabriquant.

Pour se vanter, Jani a dit à Iltalehti qu'il pouvait, d'un clic de souris, « éliminer n'importe qui, même Justin Bieber ». Mais Jani n'est pas passé à l'action. Il n'a éliminé personne, et en bon « white hat hacker », il a contacté les équipes de Facebook par mail pour leur signaler la vulnérabilité dans leur code, et leur prouver qu'il pouvait, effectivement, effacer n'importe quel commentaire.

Un porte-parole de Facebook a confirmé la version du jeune hackeur, et le montant de la « récompense » donnée en mars.

Facebook dit avoir « récompensé » près de huit cents personnes lui ayant signalé des bugs informatiques avant de les exploiter, pour un montant cumulé de 4,3 millions de dollars. Le montant de « récompense » dépasse rarement les 20 000 dollars, et est déterminé en fonction de la dangerosité de la faille, et non de sa complexité. Jani en a visiblement trouvé une assez importante. Avec ses 10 000 euros d'argent de poche empochés, il prévoit de s'acheter un vélo et un ballon de football.

Lire l'enquête de Pixels : Le business des « zero day », ces failles inconnues des fabricants de logiciel

Rédaction du Monde.fr