Mozilla vient, encore une fois de revoir à la hausse les primes attribuées à toute personne qui découvrirait une faille de sécurité dans ses logiciels.
Depuis 2004, la firme a initié un programme pour encourager les développeurs, les experts en sécurité et autres traqueurs de vulnérabilités à participer activement à l’amélioration de la sécurité dans ses produits, en reportant les failles qu’ils auraient découvertes. Toute faille découverte est récompensée par une prime, dont le montant varie selon l’importance de l’impact de la vulnérabilité rapportée.
Avec seulement une prime de 500 dollars américains pour les failles les plus critiques, au lancement du programme, Mozilla a rehaussé ce montant à 3 000 dollars en 2010. Mais depuis 5 ans, les valeurs des primes étaient restées statiques. Aujourd’hui, la firme revoit les montants affectés dans son initiative Client Bug Bounty Program, avec des primes supérieures au double de celles qu’elle accordait précédemment, pour les mêmes niveaux de vulnérabilités. En effet, la table des valeurs des nouvelles rémunérations se résume comme suit :
- pour les vulnérabilités considérées mineures ou moyennement importantes, les primes sont dans la fourchette de 500 à 2 500 dollars ;
- pour les failles présentant un niveau critique considérable, le chasseur de primes sera rémunéré de 3 000 dollars ;
- pour les failles d’un niveau critique important, la prime sera de 5 000 dollars ;
- pour les vulnérabilités avec un niveau critique élevé et d’importants impacts, la fondation est prête à verser 7 500 dollars.
Mozilla, va encore plus loin, en s’engageant à donner 10 000 dollars pour des découvertes qui seraient exceptionnelles, non seulement quand il s’agirait de failles, mais aussi pour des exploits. L’exploit étant défini ici comme une stratégie ou une procédure particulièrement ingénieuse qui permettrait d’exploiter une vulnérabilité en vue de dégâts majeurs.
La fondation publie dans sa note de sécurité, la catégorisation des bogues.
Les critères des bogues à primer ont aussi été retouchés, mais sans modification majeure. Le chasseur de primes ne devra ni être un contributeur du projet open source de la fondation, et encore moins un membre du personnel de Mozilla. Les déclarations des découvertes devront aussi suivre un schéma qui a été révisé, pour renforcer la confidentialité et le suivi effectif.
D’après le bilan du programme effectué depuis le lancement, c’est plus de 1,6 million de dollars de primes que la firme aurait versés aux contributeurs. Elle se dit entièrement satisfaite de ce qu’elle considère comme un investissement pour améliorer la qualité de ses produits, en privilégiant la question de sécurité.
Le programme de réponse est un excellent moyen pour encourager les chercheurs en sécurité. Cela empêche aussi que ceux-ci se tournent vers des réseaux souterrains pour vendre leurs découvertes au plus offrant, qui les utilisera pour perpétrer des attaques informatiques.
Source : Mozilla Security Blog
Et vous ?
Que pensez-vous de cette initiative de Mozilla ?