IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

  1. #1
    Expert éminent sénior
    Avatar de Katleen Erna
    Profil pro
    Inscrit en
    juillet 2009
    Messages
    1 547
    Détails du profil
    Informations personnelles :
    Localisation : France, Paris (Île de France)

    Informations forums :
    Inscription : juillet 2009
    Messages : 1 547
    Points : 75 793
    Points
    75 793
    Par défaut Mozilla augmente les récompenses qu'elle offre aux chercheurs en sécurité informatique, 3000$ promis désormais
    Le programme de Mozilla récompensant les découvertes de failles de sécurité étendu aux applications web, 3000$ offerts pour un bug "extraordinaire"

    Maj du 16/12/10


    C'est une nouvelle qui va faire plaisir aux petits génies de la sécurité informatique : Mozilla vient d'agrandir son programme Security Bug Bounty.

    Jusqu'à maintenant, 3000 dollars étaient promis à quiconque dénicherait et rapporterait des failles critiques dans Firefox. Mais la Fondation va plus loin : ses applications web sont désormais concernées par cette mesure : "Nous voulons encourager la découverte de problèmes de sécurité au sein de nos web applications, dans le but de protéger nos utilisateurs", a-t-elle justifié.

    Signaler une faille "très sévère" sera crédité de 500 dollars, et en présenter une "extraordinaire" sera récompensé de 3000 dollars, afin de "récompenser les chercheurs en sécurité pour leurs efforts" et de les "encourager" à continuer dans cette voie.

    Pour l'instant, cela ne concerne que certaines applications sur certains domaines, mais Mozilla se dit "tout de même très intéressée de connaître des vulnérabilités découvertes sur des sites ne faisant pas officiellement partie du bug bounty". Tout en ajoutant que si le bug est vraiment hors du commun, il pourra prétendre à une récompense.

    Voici la liste des domaines éligibles :

    bugzilla.mozilla.org
    *.services.mozilla.com
    getpersonas.com
    aus*.mozilla.org
    www.mozilla.com/org
    www.firefox.com
    www.getfirefox.com
    addons.mozilla.org
    services.addons.mozilla.org
    versioncheck.addons.mozilla.org
    pfs.mozilla.org
    download.mozilla.org
    Source : Le blog de Mozilla




    Mozilla augmente les récompenses qu'elle offre aux chercheurs en sécurité informatique, 3000$ promis désormais pour la signalisation de vulnérabilités

    La Fondation Mozilla vient de faire une jolie promesse aux chercheurs en sécurité informatique. Elle leur promet désormais 3000 dollars au lieu de 500$, en échange d'informations concernant des failles et autres vulnérabilités dans ses produits.

    Ceci en l'honneur d'un "rafraîchissement du programme Security Bug Bounty" qu'elle avait lancé en 2004.

    L'éditeur du célèbre navigateur Firefox estime en effet qu'il est temps de proposer des récompenses "économiquement durable" aux experts en sécurité informatique afin de garantir la sécurité de ses utilisateurs.

    En plus d'offrir une plus forte rétribution, Mozilla a étendu le spectre de son reward program (programme de récompense). Il s'appliquera toujours à Firefox et Thunderbird, mais aussi à Firefox mobile et aux services et produits qui y sont liés ; les Release Candidate et versions bêtas sont aussi éligibles.

    Attention, la Fondation se réserve toutefois le droit de refuser de payer un chercheur si elle estime que ce dernier n'a pas travaillé dans l'intérêt des utilisateurs. En revanche, rien n'interdit la publication d'informations sur la vulnérabilité.

    Source : Mozilla's Reward Program

    Lire aussi :
    Google récompensera ceux qui trouveront des failles de sécurité dans le navigateur Chrome

  2. #2
    Membre régulier Avatar de Tmutantv1
    Inscrit en
    novembre 2006
    Messages
    82
    Détails du profil
    Informations forums :
    Inscription : novembre 2006
    Messages : 82
    Points : 82
    Points
    82
    Par défaut
    Belle initiative! Ma préocupation est de savoir comment des fondations qui gèrent des logiciels gratuits parviennennt - elles avoir autant de moyens pour financer le dévelopement le marketing et la survie de la fondation.

  3. #3
    Membre à l'essai
    Inscrit en
    avril 2007
    Messages
    9
    Détails du profil
    Informations forums :
    Inscription : avril 2007
    Messages : 9
    Points : 18
    Points
    18
    Par défaut
    Pourtant c'est simple : mozilla se remplit les poches à l'aide du moteur de recherche google et des dons.

    C'est pas parcequ'un truc est gratuit qu'il ne génère pas de revenu hein !

  4. #4
    Membre actif
    Homme Profil pro
    Développeur informatique
    Inscrit en
    avril 2009
    Messages
    186
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 31
    Localisation : France

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : Industrie

    Informations forums :
    Inscription : avril 2009
    Messages : 186
    Points : 206
    Points
    206
    Par défaut
    Il fait bon être chercheur en sécurité en ce moment ... Je vais peut-être revoir ma spécialisation
    La politesse n'a jamais tué personne
    Le langage SMS c'est le mal !
    Pensez au tag

  5. #5
    Membre habitué
    Profil pro
    Développeur informatique
    Inscrit en
    avril 2009
    Messages
    195
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : avril 2009
    Messages : 195
    Points : 146
    Points
    146
    Par défaut
    Intéressant est le terme qui me vient à l'esprit sur le moment.
    3000$ la faille de sécurité, là au moins ça vaut le coup de se pencher sur le problème
    Bon après il y a la réserve sur le paiement qui peut en ralentir certains

  6. #6
    Membre régulier Avatar de jkakim
    Profil pro
    Développeur informatique
    Inscrit en
    mars 2009
    Messages
    94
    Détails du profil
    Informations personnelles :
    Localisation : Congo-Kinshasa

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : mars 2009
    Messages : 94
    Points : 120
    Points
    120
    Par défaut
    We! L'offre est même très intéressant... Je m'implique.

    Curieux ! Quand je pense que Mozilla Firefox, en moins de 6 mois, a patché plus cinq failles, dans ses différentes version confondus... Je me pose des questions sur la fondation.

    Je dois dire que ça me fait mal au ventre !
    Essor me dit : "Un clavier AZERTY booste le code mais ce n'est pour mettre des accents."

    http://code.code/

  7. #7
    Membre habitué
    Homme Profil pro
    Développeur / DBA
    Inscrit en
    septembre 2007
    Messages
    133
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 35
    Localisation : France, Nord (Nord Pas de Calais)

    Informations professionnelles :
    Activité : Développeur / DBA
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : septembre 2007
    Messages : 133
    Points : 154
    Points
    154
    Par défaut
    Intéressant comme offre! Ça permet de fidéliser la clientèle de surcroit !
    Digital D.N.A

  8. #8
    Expert éminent sénior
    Avatar de Katleen Erna
    Profil pro
    Inscrit en
    juillet 2009
    Messages
    1 547
    Détails du profil
    Informations personnelles :
    Localisation : France, Paris (Île de France)

    Informations forums :
    Inscription : juillet 2009
    Messages : 1 547
    Points : 75 793
    Points
    75 793
    Par défaut Le programme de Mozilla récompensant les découvertes de failles de sécurité étendu aux applications web
    Le programme de Mozilla récompensant les découvertes de failles de sécurité étendu aux applications web, 3000$ offerts pour un bug "extraordinaire"

    C'est une nouvelle qui va faire plaisir aux petits génies de la sécurité informatique : Mozilla vient d'agrandir son programme Security Bug Bounty.

    Jusqu'à maintenant, 3000 dollars étaient promis à quiconque dénicherait et rapporterait des failles critiques dans Firefox. Mais la Fondation va plus loin : ses applications web sont désormais concernées par cette mesure : "Nous voulons encourager la découverte de problèmes de sécurité au sein de nos web applications, dans le but de protéger nos utilisateurs", a-t-elle justifié.

    Signaler une faille "très sévère" sera crédité de 500 dollars, et en présenter une "extraordinaire" sera récompensé de 3000 dollars, afin de "récompenser les chercheurs en sécurité pour leurs efforts" et de les "encourager" à continuer dans cette voie.

    Pour l'instant, cela ne concerne que certaines applications sur certains domaines, mais Mozilla se dit "tout de même très intéressée de connaître des vulnérabilités découvertes sur des sites ne faisant pas officiellement partie du bug bounty". Tout en ajoutant que si le bug est vraiment hors du commun, il pourra prétendre à une récompense.

    Voici la liste des domaines éligibles :

    bugzilla.mozilla.org
    *.services.mozilla.com
    getpersonas.com
    aus*.mozilla.org
    www.mozilla.com/org
    www.firefox.com
    www.getfirefox.com
    addons.mozilla.org
    services.addons.mozilla.org
    versioncheck.addons.mozilla.org
    pfs.mozilla.org
    download.mozilla.org
    Source : Le blog de Mozilla

  9. #9
    Expert éminent sénior

    Avatar de Siguillaume
    Homme Profil pro
    Conseil - Consultant en systèmes d'information
    Inscrit en
    août 2007
    Messages
    6 180
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Côte d'Ivoire

    Informations professionnelles :
    Activité : Conseil - Consultant en systèmes d'information
    Secteur : High Tech - Produits et services télécom et Internet

    Informations forums :
    Inscription : août 2007
    Messages : 6 180
    Points : 24 550
    Points
    24 550
    Par défaut Mozilla rémunère jusqu’à 7500 dollars américains, en cas de découverte de faille de sécurité
    Mozilla revoit à la hausse le montant de prime pour la découverte des failles dans ses produits
    La fondation prête à verser jusqu’à 7 500 dollars pour une vulnérabilité critique

    Nom : Mozilla-Security.jpg
Affichages : 3465
Taille : 21,5 Ko

    Mozilla vient, encore une fois de revoir à la hausse les primes attribuées à toute personne qui découvrirait une faille de sécurité dans ses logiciels.

    Depuis 2004, la firme a initié un programme pour encourager les développeurs, les experts en sécurité et autres traqueurs de vulnérabilités à participer activement à l’amélioration de la sécurité dans ses produits, en reportant les failles qu’ils auraient découvertes. Toute faille découverte est récompensée par une prime, dont le montant varie selon l’importance de l’impact de la vulnérabilité rapportée.

    Avec seulement une prime de 500 dollars américains pour les failles les plus critiques, au lancement du programme, Mozilla a rehaussé ce montant à 3 000 dollars en 2010. Mais depuis 5 ans, les valeurs des primes étaient restées statiques. Aujourd’hui, la firme revoit les montants affectés dans son initiative Client Bug Bounty Program, avec des primes supérieures au double de celles qu’elle accordait précédemment, pour les mêmes niveaux de vulnérabilités. En effet, la table des valeurs des nouvelles rémunérations se résume comme suit :
    • pour les vulnérabilités considérées mineures ou moyennement importantes, les primes sont dans la fourchette de 500 à 2 500 dollars ;
    • pour les failles présentant un niveau critique considérable, le chasseur de primes sera rémunéré de 3 000 dollars ;
    • pour les failles d’un niveau critique important, la prime sera de 5 000 dollars ;
    • pour les vulnérabilités avec un niveau critique élevé et d’importants impacts, la fondation est prête à verser 7 500 dollars.


    Mozilla, va encore plus loin, en s’engageant à donner 10 000 dollars pour des découvertes qui seraient exceptionnelles, non seulement quand il s’agirait de failles, mais aussi pour des exploits. L’exploit étant défini ici comme une stratégie ou une procédure particulièrement ingénieuse qui permettrait d’exploiter une vulnérabilité en vue de dégâts majeurs.

    La fondation publie dans sa note de sécurité, la catégorisation des bogues.

    Les critères des bogues à primer ont aussi été retouchés, mais sans modification majeure. Le chasseur de primes ne devra ni être un contributeur du projet open source de la fondation, et encore moins un membre du personnel de Mozilla. Les déclarations des découvertes devront aussi suivre un schéma qui a été révisé, pour renforcer la confidentialité et le suivi effectif.

    D’après le bilan du programme effectué depuis le lancement, c’est plus de 1,6 million de dollars de primes que la firme aurait versés aux contributeurs. Elle se dit entièrement satisfaite de ce qu’elle considère comme un investissement pour améliorer la qualité de ses produits, en privilégiant la question de sécurité.

    Le programme de réponse est un excellent moyen pour encourager les chercheurs en sécurité. Cela empêche aussi que ceux-ci se tournent vers des réseaux souterrains pour vendre leurs découvertes au plus offrant, qui les utilisera pour perpétrer des attaques informatiques.

    Source : Mozilla Security Blog

    Et vous ?

    Que pensez-vous de cette initiative de Mozilla ?
    Vous avez envie de contribuer au sein du Club Developpez.com ? Contactez-nous maintenant !
    Vous êtes passionné, vous souhaitez partager vos connaissances en informatique, vous souhaitez faire partie de la rédaction.
    Il suffit de vous porter volontaire et de nous faire part de vos envies de contributions :
    Rédaction d'articles/cours/tutoriels, Traduction, Contribution dans la FAQ, Rédaction de news, interviews et témoignages, Organisation de défis, de débats et de sondages, Relecture technique, Modération, Correction orthographique, etc.
    Vous avez d'autres propositions de contributions à nous faire ? Vous souhaitez en savoir davantage ? N'hésitez pas à nous approcher.

Discussions similaires

  1. Réponses: 13
    Dernier message: 26/08/2015, 16h40
  2. Réponses: 7
    Dernier message: 15/12/2010, 21h02
  3. [EJB2.1 Entity] [BMP] les requetes doivent-elles se trouver directement dans les méthodes ?
    Par webspeak dans le forum Java EE
    Réponses: 2
    Dernier message: 24/03/2005, 09h34
  4. Réponses: 2
    Dernier message: 30/10/2003, 00h47
  5. Les possibilité que C++ offre par rapport à Pascal Objet
    Par Riko dans le forum Langages de programmation
    Réponses: 13
    Dernier message: 01/02/2003, 22h38

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo