Mozilla intensifie la chasse aux failles de sécurité : 3000 dollars par bogue trouvé

Pour chaque faille de sécurité importante détectée, Mozilla offrira dorénavant 3000 dollars. Une prime six fois plus élevée que précédemment. De quoi attirer les experts en sécurité.

Afin de pousser les chercheurs indépendants à trouver les vulnérabilités de ses produits, Mozilla propose le programme Security Bug Bounty. Jusqu’alors, les personnes découvrant des failles élevées ou critiques dans Firefox et Thunderbird pouvaient espérer remporter la somme de 500 dollars.

Près de six ans après le lancement de ce programme, Mozilla vient de porter cette limite à 3000 dollars par faille de sécurité reconnue comme valide. Ce changement permettra tout d’abord de remotiver les troupes en rendant la recherche de vulnérabilités rentable économiquement pour les experts en sécurité (500 dollars, cela ressemblait fort à un pourboire pour certains professionnels). Il permet également de montrer que la fondation Mozilla est aujourd’hui plus confiante que jamais lorsque nous parlons de la qualité de ses produits.

Enfin, c’est une manière de récupérer les experts qui ont quitté le navire pour se focaliser sur le navigateur web Chrome. En effet, fin janvier, Google avait décidé de lancer son propre programme permettant de financer la découverte de failles de sécurité, avec des prix pouvant atteindre les 1337 dollars pour les vulnérabilités les plus graves. Une offre alors plus alléchante que le Bug Bounty de Mozilla et qui n’a pas manqué d’attirer certains chercheurs indépendants.