la pratique du bug bounty est de plus en plus utilisée par les grandes sociétés, et plus récemment, cette chasse aux bugs s'est ouverte au monde entier, professionnels et amateurs étant invités à proposer leurs trouvailles pour apporter davantage de sécurité dans les logiciels les plus utilisés.
Une somme importante quand on considère la moyenne opérée par le passé qui plafonnait à 3000 dollars. Étonnant également que Mozilla souhaite lancer une opération de ce type quand on sait que le code source de son navigateur est ouvert et corrigé en continu par la communauté de développeurs et d'utilisateurs.
Néanmoins, la récente débâcle de la bibliothèque de cryptographie OpenSSL (Heartbleed) a jeté le doute sur une partie des navigateurs et des spécialistes de la sécurité en ligne, et d'autant plus les projets open source.
Et c'est d'ailleurs pour cela que cette fois, les plus grosses primes seront allouées aux utilisateurs découvrant des failles de sécurité touchant le processus de vérification des certificats, ou des bugs amenant à la validation de certificats invalides.
L'opération ne prendra en compte que les bugs causés par une partie du code dans security/pkix ou security/certverifier dans Firefox. La vulnérabilité devra être déclenchée lors d'une navigation web normale et il devra être possible à l'équipe de juges de Mozilla de la reproduire via une notice détaillée fournie par le participant.
Les chasseurs de bugs ont jusqu'au 30 juin 2014 pour proposer leurs découvertes, au passage Mozilla précise que les autres bugs et failles n'entrant pas dans cette opération spéciale sont toutefois acceptés et récompensés via le système classique.
