Mozilla augmente ses primes pour la découverte de failles de sécurité

En passant de 500 à 3000 dollars, le montant de la prime offerte pour le signalement d'une vulnérabilité dans les produits de la fondation, Mozilla devrait attirer plus de développeurs.

La fondation qui est à l'origine du navigateur Firefox a annoncé avoir sensiblement augmenté, de 500 à 3000 dollars, la prime dédiée aux chercheurs, hackers, dévelopeurs qui travailleront sur les questions de sécurité de ses produits. Ce programme existe depuis 2004 sous le nom Security Bug Bounty Program. « Beaucoup de choses ont changé au cours des six dernières années depuis le lancement de ce programme. Nous estimons que l'une des meilleures façons de fidéliser nos utilisateurs en toute sécurité est de récompenser à sa juste valeur les chercheurs en sécurité qui participent à la mise à jour de nos produits », a écrit Lucas Adamski, directeur de l'ingénierie de sécurité, dans un blog.

Conditions  assouplies et champs d'application élargis

Le programme qui s'adressait à l'origine à Firefox et à l'outil de messagerie Thunderbird, s'étend maintenant au navigateur sur mobile et à d'autres produits. Les mises à jour et les versions bêta sont également éligibles. Lucas Adamski a souligné que « les primes étaient auparavant attribuées de manière discrétionnaire. Aujourd'hui, nous allons le faire de manière plus explicite » et d'ajouter « Mozilla ne pourra pas refuser une prime à un chercheur qui aura trouver véritablement une faille sauf si la fondation estime que la personne n'a pas agi dans le meilleur intérêt des utilisateurs ». Enfin une partie de la prime pourra être octroyée si un chercheur a publié des informations sur une faille de sécurité ou s'il n'a pas eu le temps de travailler en collaboration avec les équipes de sécurité de Mozilla.