Passer au contenu

Mozilla offre désormais 3 000 dollars pour une faille de sécurité

La fondation propose dorénavant aux chercheurs et autres chasseurs de bugs de sécurité une récompense de 3 000 dollars, contre 500 auparavant. Le programme, lancé en 2004, a été rafraîchi.

Sur son blog consacré à la sécurité, la fondation Mozilla annonce que, dans le cadre de son programme Mozilla Security Bug Bounty, lancé en 2004, la prime versée à ceux qui lui signalent une faille de sécurité élevée ou critique dans l’un de ses logiciels (Firefox, Thunderbird…) se verront verser désormais une récompense de 3 000 dollars (et un t-shirt !), contre 500 dollars jusque-là.

Outre cette augmentation, Mozilla a revu le contenu du programme, pour y inclure Firefox Mobile (qui n’existait pas il y a six ans), ainsi que tous les services Mozilla utilisés par ses logiciels en matière de sécurité. La Mozilla Suite, qui n’est plus prise en charge par la fondation, sort du programme.

Par ailleurs, Mozilla indique qu’elle n’impose toujours pas à celui qui l’alerte d’avoir gardé préalablement le silence (la faille peut avoir déjà été rendue publique avant la demande de récompense), elle se réserve toutefois le droit de ne pas verser de récompense si le « chasseur de failles » a mis en danger les utilisateurs de ses programmes (en donnant, par exemple, trop de détails).

Pour le reste, les conditions d’éligibilité sont toujours les mêmes. La faille ne doit pas avoir été reportée, être exploitable à distance, concerner prioritairement des versions récentes des applications. Les employés de Mozilla ne peuvent pas participer au programme et les personnes dont le travail est de trouver des failles sont invitées à ne pas demander de prime, etc. La foire aux questions (en anglais) du Bounty Program se trouve sur cette page.

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Guillaume Deleurence