Mozilla a dépensé 40.000 dollars en un mois en récompenses, pour les bogues

[Katleen Erna]

Mozilla a dépensé 40.000 dollars en un mois en récompenses, pour les bogues et vulnérabilités qui lui ont été signalés

Il y a un mois, Mozilla annonçait augmenter le montant des récompenses attribuées aux génies dénichant des bugs dans ses produits.

L'annonce n'est visiblement pas tombée dans l'oreille d'un sourd, puisque depuis son entrée en vigueur, la Fondation a dépensé la coquette somme de 40.000 dollars en primes liées à son "Bug Bounty".

Les vulnérabilités ainsi découvertes touchaient le navigateur Firefox ainsi que quelques applications.

"Merci à toutes les personnes qui nous ont signalé des bogues, ce programme a été un véritable succès", déclare Mozilla.

La somme la plus conséquente attribuée a été de 3000 dollars pour une faille "extraordinaire", et la majorité des récompenses était de 500 dollars. Les bugs concernés seront révélés aussitôt qu'ils seront fixés.

Actuellement, Mozilla procède au tri des dernières contributions reçues, avant d'envoyer les paiements associés. De plus, certaines personnes dont les signalements n'ont pas été retenus, ont tout de même reçu en cadeau un t-shirt aux couleurs de la Fondation.

Source : Le blog de Mozilla

[joreveur]

Une façon de ne pas employer des gens à faire ce travail..

[Zack_r]

Ou une façon d'amélioré un produit plus qu'il ne l'ai déjà, en faisant participer des personnes étrangères à la société, qui peuvent avoir une autre vision des choses, du coup ils n'ont pas les même contraintes, donc recherche d'une autre façon.

Personnellement j'aime bien ce genre d'initiative, ça a un aspect fortement communautaire.

[Neko]

Citation:

Envoyé par Zack_r

Ou une façon d'amélioré un produit plus qu'il ne l'ai déjà, en faisant participer des personnes étrangères à la société, qui peuvent avoir une autre vision des choses, du coup ils n'ont pas les même contraintes, donc recherche d'une autre façon.

Personnellement j'aime bien ce genre d'initiative, ça a un aspect fortement communautaire.

L'idéal serait d'allier les 2 en fait. Non pas se reposer exclusivement sur "la communauté" mais aussi avoir des professionnels embauchés à tracer les bugs et failles, c'est d'ailleurs valable pour toutes sociétés. C'est peut-être déjà le cas mais en fait je pense pas qu'il y ai d'informations à ce sujet.

[ProgVal]

Citation:

Envoyé par Katleen Erna

Les bugs concernés seront révélés aussitôt qu'ils seront fixés.

C'est pas digne d'un logiciel libre, ça...

[Hellwing]

Citation:

Envoyé par ProgVal

C'est pas digne d'un logiciel libre, ça...

Je serais curieux de connaître tes arguments pour oser affirmer une chose pareille. Personnellement je ne vois aucun rapport entre logiciel libre et ne pas divulguer les failles avant leur correction.

[Uther]

Citation:

Envoyé par Neko

L'idéal serait d'allier les 2 en fait. Non pas se reposer exclusivement sur "la communauté" mais aussi avoir des professionnels embauchés à tracer les bugs et failles, c'est d'ailleurs valable pour toutes sociétés. C'est peut-être déjà le cas mais en fait je pense pas qu'il y ai d'informations à ce sujet.

C'est heureusement le cas, la majorité des bugs et failles de sécurité corrigés sont détectés par Mozilla même. Il suffit de regarder les patch notes qui indiquent toutes les vulnérabilités corrigées.

[ProgVal]

Citation:

Envoyé par Hellwing

Je serais curieux de connaître tes arguments pour oser affirmer une chose pareille. Personnellement je ne vois aucun rapport entre logiciel libre et ne pas divulguer les failles avant leur correction.

Normalement, le bugtracker d'un logiciel libre devrait être entièrement public. Et n'importe qui devrait être au courant des failles, pour pouvoir tenter de soumettre un patch s'il le souhaite.

[Uther]

Citation:

Envoyé par ProgVal

Normalement, le bugtracker d'un logiciel libre devrait être entièrement public. Et n'importe qui devrait être au courant des failles, pour pouvoir tenter de soumettre un patch s'il le souhaite.

Rien dans le libre n'oblige a rendre public le code ni aucune information sur les développements en cours (pas même la GPL). Tant que rien n'est distribué, on n'est pas tenu de fournir quoique ce soit.

Bien sur généralement les projets libres ne s'en privent pas, mais pour une faille de sécurité, c'est pas sérieux de la révéler tant qu'elle n'est pas corrigée, particulièrement pour Mozilla qui serait bien évidement attaqué dans les heures qui suivent.

Le bugtracker de Mozilla est bien ouvert au public. Mais si celui qui soumet un bug estime qu'il est sensible, il peut indiquer qu'il ne doit être visible qu'aux membres de confiance, tant qu'il n'est pas livré.
Ne t'inquiète pas, ces bugs ont une attention toute particulière, et sont patchés immédiatement.
Ils ne restent cachés que le temps de la prochaine sortie mineure(environ tous les mois), voire seulement le temps de faire les tests(2-3 jours) si des exploits sont connus.

[ProgVal]

Uther : c'est exact, rien ne l'oblige (ça serait un peu stupide d'obliger à être libre (un de mes sujets de dissertation de philo, d'ailleurs).
Mais je vais quand même citer le Contrat Social de Debian, qui est une de( me)s références en la matière :

Citation:

We will not hide problems
We will keep our entire bug report database open for public view at all times. Reports that people file online will promptly become visible to others.

[Uther]

C'est un choix, il n'en reste pas moins dangereux.

Mozilla ne cache pas les bugs dangereux bien longtemps. Des que la correction est publiée, ils sont rendus visible. Ça me parait un très bon compromis entre la transparence totale qui peut clairement aboutir a des exploit zero day si les pirates sont réactifs, et de ne rien annoncer du tout, ce qui serait pour le coup très inquiétant quant au sérieux de la sécurité.