Mozilla offre 3000$ par faille de sécurité découverte
Les récompenses pour les chercheurs en sécurité augmentent
Le 2010-07-19 07:05:01, par Katleen Erna, Expert éminent sénior
Le programme de Mozilla récompensant les découvertes de failles de sécurité étendu aux applications web, 3000$ offerts pour un bug "extraordinaire"
Maj du 16/12/10
C'est une nouvelle qui va faire plaisir aux petits génies de la sécurité informatique : Mozilla vient d'agrandir son programme Security Bug Bounty.
Jusqu'à maintenant, 3000 dollars étaient promis à quiconque dénicherait et rapporterait des failles critiques dans Firefox. Mais la Fondation va plus loin : ses applications web sont désormais concernées par cette mesure : "Nous voulons encourager la découverte de problèmes de sécurité au sein de nos web applications, dans le but de protéger nos utilisateurs", a-t-elle justifié.
Signaler une faille "très sévère" sera crédité de 500 dollars, et en présenter une "extraordinaire" sera récompensé de 3000 dollars, afin de "récompenser les chercheurs en sécurité pour leurs efforts" et de les "encourager" à continuer dans cette voie.
Pour l'instant, cela ne concerne que certaines applications sur certains domaines, mais Mozilla se dit "tout de même très intéressée de connaître des vulnérabilités découvertes sur des sites ne faisant pas officiellement partie du bug bounty". Tout en ajoutant que si le bug est vraiment hors du commun, il pourra prétendre à une récompense.
Voici la liste des domaines éligibles :
Source : Le blog de Mozilla
Mozilla augmente les récompenses qu'elle offre aux chercheurs en sécurité informatique, 3000$ promis désormais pour la signalisation de vulnérabilités
La Fondation Mozilla vient de faire une jolie promesse aux chercheurs en sécurité informatique. Elle leur promet désormais 3000 dollars au lieu de 500$, en échange d'informations concernant des failles et autres vulnérabilités dans ses produits.
Ceci en l'honneur d'un "rafraîchissement du programme Security Bug Bounty" qu'elle avait lancé en 2004.
L'éditeur du célèbre navigateur Firefox estime en effet qu'il est temps de proposer des récompenses "économiquement durable" aux experts en sécurité informatique afin de garantir la sécurité de ses utilisateurs.
En plus d'offrir une plus forte rétribution, Mozilla a étendu le spectre de son reward program (programme de récompense). Il s'appliquera toujours à Firefox et Thunderbird, mais aussi à Firefox mobile et aux services et produits qui y sont liés ; les Release Candidate et versions bêtas sont aussi éligibles.
Attention, la Fondation se réserve toutefois le droit de refuser de payer un chercheur si elle estime que ce dernier n'a pas travaillé dans l'intérêt des utilisateurs. En revanche, rien n'interdit la publication d'informations sur la vulnérabilité.
Source : Mozilla's Reward Program
Lire aussi :
Google récompensera ceux qui trouveront des failles de sécurité dans le navigateur Chrome
Maj du 16/12/10
C'est une nouvelle qui va faire plaisir aux petits génies de la sécurité informatique : Mozilla vient d'agrandir son programme Security Bug Bounty.
Jusqu'à maintenant, 3000 dollars étaient promis à quiconque dénicherait et rapporterait des failles critiques dans Firefox. Mais la Fondation va plus loin : ses applications web sont désormais concernées par cette mesure : "Nous voulons encourager la découverte de problèmes de sécurité au sein de nos web applications, dans le but de protéger nos utilisateurs", a-t-elle justifié.
Signaler une faille "très sévère" sera crédité de 500 dollars, et en présenter une "extraordinaire" sera récompensé de 3000 dollars, afin de "récompenser les chercheurs en sécurité pour leurs efforts" et de les "encourager" à continuer dans cette voie.
Pour l'instant, cela ne concerne que certaines applications sur certains domaines, mais Mozilla se dit "tout de même très intéressée de connaître des vulnérabilités découvertes sur des sites ne faisant pas officiellement partie du bug bounty". Tout en ajoutant que si le bug est vraiment hors du commun, il pourra prétendre à une récompense.
Voici la liste des domaines éligibles :
bugzilla.mozilla.org
*.services.mozilla.com
getpersonas.com
aus*.mozilla.org
www.mozilla.com/org
www.firefox.com
www.getfirefox.com
addons.mozilla.org
services.addons.mozilla.org
versioncheck.addons.mozilla.org
pfs.mozilla.org
download.mozilla.org
*.services.mozilla.com
getpersonas.com
aus*.mozilla.org
www.mozilla.com/org
www.firefox.com
www.getfirefox.com
addons.mozilla.org
services.addons.mozilla.org
versioncheck.addons.mozilla.org
pfs.mozilla.org
download.mozilla.org
Mozilla augmente les récompenses qu'elle offre aux chercheurs en sécurité informatique, 3000$ promis désormais pour la signalisation de vulnérabilités
La Fondation Mozilla vient de faire une jolie promesse aux chercheurs en sécurité informatique. Elle leur promet désormais 3000 dollars au lieu de 500$, en échange d'informations concernant des failles et autres vulnérabilités dans ses produits.
Ceci en l'honneur d'un "rafraîchissement du programme Security Bug Bounty" qu'elle avait lancé en 2004.
L'éditeur du célèbre navigateur Firefox estime en effet qu'il est temps de proposer des récompenses "économiquement durable" aux experts en sécurité informatique afin de garantir la sécurité de ses utilisateurs.
En plus d'offrir une plus forte rétribution, Mozilla a étendu le spectre de son reward program (programme de récompense). Il s'appliquera toujours à Firefox et Thunderbird, mais aussi à Firefox mobile et aux services et produits qui y sont liés ; les Release Candidate et versions bêtas sont aussi éligibles.
Attention, la Fondation se réserve toutefois le droit de refuser de payer un chercheur si elle estime que ce dernier n'a pas travaillé dans l'intérêt des utilisateurs. En revanche, rien n'interdit la publication d'informations sur la vulnérabilité.
Source : Mozilla's Reward Program
Lire aussi :
Google récompensera ceux qui trouveront des failles de sécurité dans le navigateur Chrome
-
jeremybsMembre à l'essaiPourtant c'est simple : mozilla se remplit les poches à l'aide du moteur de recherche google et des dons.
C'est pas parcequ'un truc est gratuit qu'il ne génère pas de revenu hein !le 19/07/2010 à 16:38 -
ptilemareMembre actifIl fait bon être chercheur en sécurité en ce moment ... Je vais peut-être revoir ma spécialisationle 20/07/2010 à 13:19
-
Tmutantv1Membre régulierBelle initiative! Ma préocupation est de savoir comment des fondations qui gèrent des logiciels gratuits parviennennt - elles avoir autant de moyens pour financer le dévelopement le marketing et la survie de la fondation.le 19/07/2010 à 16:08
-
DjiLowMembre habituéIntéressant est le terme qui me vient à l'esprit sur le moment.
3000$ la faille de sécurité, là au moins ça vaut le coup de se pencher sur le problème
Bon après il y a la réserve sur le paiement qui peut en ralentir certainsle 21/07/2010 à 16:44 -
jkakimMembre habituéWe! L'offre est même très intéressant... Je m'implique.
Curieux ! Quand je pense que Mozilla Firefox, en moins de 6 mois, a patché plus cinq failles, dans ses différentes version confondus... Je me pose des questions sur la fondation.
Je dois dire que ça me fait mal au ventre !le 21/07/2010 à 17:57 -
digitaldnaMembre habituéIntéressant comme offre! Ça permet de fidéliser la clientèle de surcroit !le 26/07/2010 à 14:49