Depuis quelques années maintenant, les principaux éditeurs de navigateurs web n'hésitent plus à rémunérer la découverte de vulnérabilités. Si les modalités varient évidemment en fonction de différents critères (comme l'importance de la faille), l'objectif reste le même pour tous : proposer une récompense dans le but d'inciter les chercheurs en sécurité à travailler d'arrache-pied pour repérer les moindres faiblesses.
Dans ce domaine, la fondation Mozilla a été la première à déployer un tel système, dès 2004. Depuis, près de 120 trous de sécurité ont été découverts puis comblés. Entretemps, la fondation en a profité pour revoir à la hausse le montant des primes en jeu. De 500 dollars, la récompense maximale est montée à 3 000 dollars en juillet dernier.
Or selon Johnathan Nightingale, le directeur du développement de Firefox, un petit nombre de ces chercheurs participe à la découverte des failles de sécurité non pas pour l'argent, mais plutôt pour la gloire, le plaisir ou même par idéologie envers le logiciel libre. C'est ce que rapporte PC World, après un entretien avec Johnathan Nightingale.
Selon lui, la découverte d'environ 10 à 15 % des failles de sécurité jugées sérieuses ne s'est pas accompagnée d'un versement des primes. "Beaucoup disaient : "ne vous en faites pas. Donnez l'argent à l'Electronic Frontier Foundation ou envoyez-moi simplement un t-shirt"". Une décision honorable, mais si d'autres considéreront à juste titre qu'un tel travail mérite une rémunération. D'ailleurs, la fondation Mozilla en est bien consciente et n'a pas mis ce dispositif au hasard.
D'autant que les contributions ne viennent pas uniquement d'Amérique du Nord ou d'Europe. Certains chasseurs de bugs vivent dans des régions où 3 000 dollars représentent un montant tout à fait conséquent. "En Amérique du Nord, une telle somme n'est pas négligeable. Mais dans certaines régions du monde, 3 000 dollars est un sacré montant, et nos contributeurs proviennent de nombreux endroits" a conclu le responsable.

Lire la suite