Mozilla: la fondation paie les chasseurs de failles

Une initiative intéressante, disons-le. Au lieu d’attendre que les pirates découvrent et exploitent des failles dans ses logiciels, la Fondation Mozilla préfère anticiper. Et agiter la carotte. Dans son programme  »

Mozilla security bug bounty« , l’éditeur de Firefox offre 500 US dollars de récompense pour chaque ‘bug’ découvert dans ses produits. La prime a de quoi motiver, d’autant qu’elle est cumulable! Pour démonstration, la Fondation annonce que Michael Krax, un chercheur allemand spécialisé dans la sécurité, vient d’être gratifié de 2.500 US dollars pour avoir mis à jour cinq ‘bugs’ dans le navigateur Firefox. C’est la première « récompense » versée par l’éditeur. Selon Mozilla, cette méthode est la plus efficace pour développer des logiciels plus sûrs et mieux sécurisés. Mais elle risque aussi de créer une surenchère. Verrons-nous des spécialistes cherchant à monnayer leurs découvertes face à tous les éditeurs? Ou cherchant à pratiquer le chantage en menaçant de rendre publiques les failles? Mais il est vrai que cette initiative va générer une concentration et une surveillance plus forte autour des logiciels de l’éditeur. C’est un atout essentiel au moment où Firefox prend une place de plus en plus importante dans le marché des navigateurs et devient donc, de fait, plus exposé aux attaques.