En 2004, Mozilla a lancé un programme de rétribution pour la découverte de vulnérabilités de sécurité dans ses produits. Le montant des récompenses a été réévalué le mois dernier afin de motiver les troupes. Une tendance rapidement suivie par Google pour Google Chrome et Chromium, tandis que de son côté Microsoft demeure réfractaire à cette idée de payer pour des failles rapportées.

Pour quantité non négligeable de découvreurs de failles, l'appât du gain n'est cependant par une réelle source de motivation. Responsable du développement de Firefox, Johnathan Nightingale a en effet livré cette statistique selon laquelle depuis le lancement du programme Security Bug Bounty, entre 10 et 15 % des vulnérabilités critiques rapportées l'ont été sans rétribution en échange.

" Beaucoup de gens nous disent ne vous souciez pas de cela. Donnez cet argent à la EFF ( Electronic Frontier Foundation ) ou envoyez-moi juste un T-shirt "

, a déclaré Jonathan Nightingale à IDG News Service.

Sous l'égide de son programme de rétribution, 120 bugs de sécurité ont été rapportés à Mozilla depuis 2004 par près de 80 chercheurs. Un programme qui selon Mozilla garde toute son importance car incitant des chercheurs en sécurité à faire le bon choix en matière de divulgation.