La fondation Mozilla a décidé de revoir le montant de ses récompenses pour toute découverte de faille critique. Désormais, les internautes signalant des vulnérabilités importantes ou critiques pourront toucher 3 000 dollars. L’éditeur de Firefox espère par la même occasion susciter des vocations et éviter que des failles ne soient exploitées dans des concours de piratage. Des concours qui mettent souvent à mal l’image de marque des navigateurs.

La sécurité informatique passe parfois par le rehaussement des récompenses. C’est sans doute ce qu’a dû se dire la fondation Mozilla en annonçant l’augmentation des primes versées pour chaque découverte de vulnérabilité. Désormais, chaque internaute découvrant une faille importante ou critique pour toucher 3 000 dollars, contre 500 auparavant.

Bien entendu, la fondation Mozilla encadre cette « chasse aux bugs » de quelques conditions. Tout d’abord, seules les failles les plus graves sont éligibles à ce programme. Ensuite, les vulnérabilités ne doivent évidemment pas avoir été signalées auparavant. De plus, le signalement ne doit concerner que les versions les plus récentes des logiciels édités par Mozilla.

Par ailleurs, les failles ne doivent pas être causées par un élément logiciel tiers, comme une extension ou un plug-in. Enfin, les employés de la fondation Mozilla ne sont pas éligibles à ce programme. « Nos fonds sont limités et nous aimerions que ce programme se concentre sur les personnes qui ne sont pas payés pour travailler sur le projet Mozilla » est-il expliqué.

Si Mozilla a mis en place ce programme depuis plusieurs années, d’autres éditeurs ont également lancé des initiatives du même genre. En début d’année, Google a par exemple mobilisé des fonds pour récompenser chaque personne signalant une vulnérabilité dans Chrome. En fonction de la gravité de la faille, les primes peuvent aller de 500 et 1 337 dollars.

Ce rehaussement des primes survient également dans un contexte où certains experts en sécurité informatique n’hésitent plus à tirer profit des vulnérabilités découvertes pour gagner des concours en tout genre. Selon Ars Technica, il n’est pas rare de voir quelques spécialistes repérer et garder sous le coude une faille pour ensuite concourir à des compétitions et espérer gagner un prix.

C’est notamment le cas avec le concours Pwn2Own qui propose, en cumulant toutes les sommes, jusqu’à 100 000 dollars de prix. Dans ces conditions, il n’est donc pas surprenant que Mozilla augmente ses récompenses, pour éviter que des failles critiques ne soient pas colmatées, mais aussi pour s’épargner une mauvaise presse dans des concours où la sécurité des navigateurs risque d’être quelque peu bousculée.


Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.