Mozilla récompense désormais bien mieux la découverte de vulnérabilités dans ses logiciels, en particulier lorsque celles-ci sont particulièrement graves. La fondation a en effet établi un nouveau barème qui doit mieux prendre en compte le degré de criticité des failles qui lui sont soumises. Les plus sérieuses peuvent déboucher sur une prime atteignant 10 000 dollars, voire plus si la brèche est exceptionnelle.
La nouvelle tarification attribue toujours une prime pour tout signalement de faille modérément dangereuse, dont le montant dépendra de sa gravité (entre 500 et 2500 dollars). Pour une vulnérabilité haute, trois paliers sont prévus : 3000, 5000 et 7500 dollars. La somme sera fixée en fonction de la qualité de la notification, de la sévérité du bug et de son niveau d'exploitabilité par une personne malveillante.
Pour le montant maximal, à savoir une prime de 10 000 dollars (ou plus) Mozilla explique que l'alerte devra porter sur un incident potentiellement catastrophique.
Dans un billet de blog, Mozilla apporte deux précisions : d'abord, les failles modérément dangereuses ne sont pas systématiquement éligibles à une récompense. Un comité d'évaluation sera chargé de faire le tri dans les signalements. Ensuite, le barème ne couvre que les bugs situés dans les logiciels de Mozilla (Firefox, Thunderbird, Firefox OS…). Les programmes tiers (extensions, plugins…) ne sont pas couverts.
Mozilla verse depuis 2010 des récompenses à ceux qui permettent de sécuriser davantage ses applications. D'après les calculs de la fondation, ce programme a permis de verser près de 1,6 million de dollars aux chasseurs de bugs. Une somme élevée, mais dont on ne peut guère faire l'économie si l'on veut assurer correctement la sécurité des utilisateurs.
Nouveauté : Découvrez
La meilleure expérience de Numerama, sans publicité,
+ riche,
+ zen,
+ exclusive.
Vous voulez tout savoir sur la mobilité de demain, des voitures électriques aux VAE ? Abonnez-vous dès maintenant à notre newsletter Watt Else !
