La fondation Mozilla récompense les chasseurs de failles
L’éditeur de la suite Internet Mozilla propose une récompense aux utilisateurs capables d’identifier les failles de sécurité critiques de ses applications.
La récente faille de sécurité critique découverte ? et aussitôt corrigée ? dans le navigateur Mozilla (voir édition du 9 juillet 2004) n’a pas manqué de stimuler la communauté Open Source. La fondation Mozilla a en effet présenté, lundi 2 août 2004, une initiative baptisée Mozilla Security Bug Bounty Program dont le principe est de proposer une récompense aux utilisateurs qui signaleraient des failles critiques de ses applications.
Montant de la récompense : 500 dollars, si le niveau de dangerosité de la faille est jugé suffisant par l’équipe de la fondation Mozilla. Ce programme ne s’assimile donc pas à un concours doté d’un prix particulièrement attractif. L’initiative vise plutôt à encourager la communauté de développeurs et utilisateurs de Mozilla à considérer sérieusement les problèmes de sécurité. « Ce programme reflète notre engagement à protéger les consommateurs des individus malintentionnés », avance Mitchell Baker, président de la fondation Mozilla. « Alors qu’aucun logiciel n’est à l’abri des vulnérabilités », poursuit-il, « les bogues des projets Open Source sont souvent identifiés et réparés plus rapidement [qu’avec les environnements propriétaires, Ndlr]. »Prévention contre répression
Il est vrai que l’initiative tranche avec les méthodes de Microsoft, plus enclin à garder le silence face aux failles de ses applications. L’éditeur adopte en effet une stratégie plus répressive en proposant des récompenses faramineuses pour l’aider à arrêter les auteurs de virus (250 000 dollars sont offerts pour les arrestations des auteurs de MyDoom, Blaster et Sobig, soit 750 000 dollars au total). Mais, quand une récompense est proposée, le mal est généralement déjà fait, au grand dam des utilisateurs victimes.
Beaucoup moins intéressante financièrement, l’initiative de la fondation Mozilla vise inversement à prendre le problème en amont. Mais le monde du libre ne dispose pas de la puissance financière de la société de Steve Ballmer. Les premiers fonds bénéficient des participations de Linspire (ex-Lindows) et de l’entrepreneur Mark Shuttleworth. Ces contributions, aussi importantes soient-elles, n’étant pas suffisantes, la fondation Mozilla a décidé de s’en remettre à la générosité de ses utilisateurs pour financer ce programme de prévention.