Mozilla est l'un des précurseurs des programmes dits de Bug Bounty qui sont désormais plus largement adoptés par divers éditeurs. Après des années sans véritable évolution, l'éditeur de Firefox a décidé de passer à la vitesse supérieure.
Mozilla introduit ainsi une plus grande diversité dans les sommes qui pourront être reversées aux chercheurs en sécurité pour leurs rapports de vulnérabilités. Auparavant, cela se résumait à 3 000 dollars pour une vulnérabilité critique.
Pour une vulnérabilité à la gravité qui sera jugée modérée, la rétribution oscillera entre 500 et 2 000 dollars. Avec l'élévation du niveau de dangerosité, la récompense sera au minimum de 3 000 dollars et pourra dépasser les 10 000 dollars.
Cela dépendra de la qualité du rapport qui accompagne la vulnérabilité, son indice d'exploitation. Au-delà de 10 000 dollars, le hacker devra toucher à l'exceptionnel. Le tableau ci-dessous résume la situation :
Mozilla officialise par ailleurs son temple de la renommée où les chercheurs en sécurité émérites pourront trouver leur petit nom ou plus souvent pseudonyme. Il remonte dans le temps jusqu'en 2010.
Le programme de Bug Bounty de Mozilla a versé près de 1,6 million de dollars depuis sa création. Actuellement, il couvre Firefox, Thunderbird, Firefox pour Android et Firefox OS.
Afin de préparer la sortie de Microsoft Edge (anciennement Project Spartan), Microsoft a donné jusqu'au 22 juin prochain pour trouver et rapporter des vulnérabilités de sécurité dans son nouveau navigateur de Windows 10. Les meilleurs hackers peuvent encore décrocher une récompense de jusqu'à 15 000 $. C'est une vision différente des choses avec un programme de Bug Bounty temporaire et antérieur à la sortie d'un produit en version finale.
