Depuis 2004, Mozilla mène un programme de rétribution pour la découverte de vulnérabilités de sécurité dans ses produits. Les découvreurs peuvent ainsi être rémunérés à hauteur de 500 à 3 000 dollars. Les vulnérabilités doivent permettre une exécution de code à distance, être présentes dans les versions les plus à jour, bêta ou RC de Firefox, Thunderbird, Firefox Mobile ou dans des services Mozilla.
Cet été, le responsable du développement de Firefox, Johnathan Nightingale, a indiqué que depuis le lancement du programme Security Bug Bounty, entre 10 et 15 % des vulnérabilités critiques sur un total de 120 ont été rapportées sans rétribution en échange. Quand bien même, Mozilla a décidé d'étendre son champ des rétributions.
Dorénavant, la traque est lancée aux bugs de sécurité dans les applications Web sur une liste déterminée de sites. Parmi ces sites, on retrouve : bugzilla.mozilla.org, getpersonas.com, mozilla.com, addons.mozilla.org... Le cas échéant, d'autres sites pourront être pris en considération.
Ce programme de Mozilla a fait des émules du côté de Google qui s'en est ouvertement inspiré pour Chrome et Chromium. Cette fois-ci, c'est Mozilla qui a suivi Google. Le mois dernier, Google a annoncé l'extension de son programme... aux applications Web.
Publié le
par Jérôme G.
Journaliste GNT spécialisé en nouvelles technologies
Sur le même sujet
Cette page peut contenir des liens affiliés. Si vous achetez un produit depuis ces liens, le site marchand nous reversera une commission sans que cela n'impacte en rien le montant de votre achat. En savoir plus.