Le programme Security Bug Bounty de Mozilla

Posté par  (site web personnel) . Modéré par rootix.
Étiquettes :
0
3
août
2004
Mozilla
Un nouveau programme a été lancé pour améliorer la découverte des failles de sécurité dans le projet Mozilla.

Suivant le principe des "bounty hunters", ces chasseurs de primes qui chassaient des animaux en échange de récompenses, le nouveau programme propose à la communauté des primes pour la traque des bugs critiques au niveau de la sécurité des logiciels du projet. Je n'ai trouvé que peu d'informations pour le moment sur le net concernant ce programme. Apparemment, cette idée ferait suite à un programme similaire existant pour les produits Netscape.

Les récompenses seront attribuées par l'équipe de la fondation Mozilla après évaluation des rapports établis par les utilisateurs. Pour chaque nouvelle faille, une récompense de 500 US $ (env. 415 €) sera attribuée au découvreur.
Les fonds seront trouvés notamment grâce au support de la société Linspire Inc. et à l'entrepreneur Mark Shuttleworth.
Il est aussi demandé à la communauté de contribuer par des dons à ce "sponsoring". Il est d'ailleurs précisé que Mark Shuttleworth doublera chacun des 5000 premiers dollars de dons collectés auprès de la communauté.

Je pense que l'initiative est bonne, mais le fait que la récompense soit financière me dérange personnellement un peu. Certes pour la motivation, c'est le plus efficace pour beaucoup de gens, mais philosophiquement c'est triste... Surtout lorsqu'il s'agit du monde du logiciel libre...

Aller plus loin

  • # Oui mais...

    Posté par  (site web personnel) . Évalué à 6.

    C'est sûr que, idéalement, je pense que des goods à l'effigie de Mozilla auraient été plus appropriés: T-shirts, mugs, sets de table, et que sais-je encore? :)

    Je suis d'accord sur le fait qu'une motivation par l'argent n'est peut-être pas la plus adaptée au monde du logiciel libre, mais je vois plutôt ça comme la motivation de la fondation Mozilla d'éliminer tous les bugs possibles assez rapidement.

    Pour moi c'est à la fois une motivation des gens à la tête du projet Mozilla (de vouloir exterminer les bugs) et aussi une motivation pour ceux qui voudraient à la fois aider le logiciel libre et obtenir une récompense très encourageante.

    Logiciel libre et argent ne sont pas incompatibles, je crois, et il faut bien se dire qu'on ne peut pas vivre de logiciel libre et d'eau fraîche tout le temps :)
    • [^] # Re: Oui mais...

      Posté par  . Évalué à 10.

      Je ne vois pas, où est le problème?
      Dans des grands projets libres, certains dévellopeurs sont payés, ce qui est normal. Je ne vois donc pas pourquoi on ne remunererai pas tous ceux qui participent à l'effort de dévellopement y compris les volontaires qui recherchent des failles de sécurité. On est bien dans l'esprit du logiciel libre ou un des buts est d'avoir le programme dont la qualité est a meilleure possible.
      L'argent n'est absolument pas incompatible avec l'esprit du logiciel libre.
      De plus, je pense que tout ce qui permettra d'impliquer les utilisateurs dans l'effort de dévellopement est bon à prendre.
      • [^] # Re: Oui mais...

        Posté par  . Évalué à 0.

        L'argent risque de changer le rapport de motivation avec les LL.
        Les gens ne le feront plus dans le but d'améliorer le programme mais dans le but de gagner de l'argent. C'est une bonne chose car les gens seront motivés pour publier les bugs connus mais si une fois l'argent vient à manquer...

        Je trolle dès quand ça parle business, sécurité et sciences sociales

        • [^] # Re: Oui mais...

          Posté par  (Mastodon) . Évalué à 7.

          À mon avis la grande majorité des gens qui bossent sur un logiciel libre ne le font pas dans le but de l'améliorer, mais dans le but de résoudre un problème. Par exemple, s'il y a un bug dans un logiciel que j'utilise, ou s'il me manque une fonctionnalité, je vais avoir envie de l'améliorer. Mais ce n'est pas pour l'améliorer, dans l'absolu, simplement l'améliorer parce que j'en ai besoin.

          Maintenant admettons que j'ai besoin d'améliorer un logiciel, mais que je n'ai pas les compétences ou le temps pour le faire ? La motivation par l'argent est un moyen de contribuer pour les gens qui voudraient améliorer un logiciel mais qui ne peuvent pas de manière classique. Ils ne font que reporter leur problème sur un développeur.

          Après, la crainte que l'on voie apparaître des développeurs qui ne bossent que pour l'argent est, à mon avis, infondée. Ce n'est pas demain la veille du jour où il sera plus rentable de coder du libre que du propriétaire. Et même si cela arrivait, peu importe, le code libre reste libre quelle que soit la motivation qui a poussé le développeur à le faire. On pourrait juste craindre qu'un développeur qui soit motivé par l'argent s'applique moins, mais jusqu'à maintenant les bounty impliquent un "jury" qui décide si la prime est versable ou non.
        • [^] # Re: Oui mais...

          Posté par  . Évalué à 3.

          Il y a 2 sortes de gens :

          1) Ceux qui le font pour l'argent
          2) Ceux qui ne le font pas pour l'argent

          Aujourd'hui :

          1) Ne sont pas la
          2) Sont la


          Demain, avec le bounty program :
          1) S'ajoutent aux developpeurs existants
          2) Sont toujours la

          Apres-demain, si il n'y a plus d'argent :
          1) Ne sont plus la
          2) Sont toujours la


          Bref, dans tous les cas, il y a soit + soit le meme nombre de developpeurs qu'aujourd'hui.
    • [^] # Re: Oui mais...

      Posté par  (site web personnel) . Évalué à 7.

      On m'a toujours dit que "logiciel libre" ne veut pas dire "freeware". Or maintenant je vois certaines personnes s'insurgent contre le fait que certains offrent des récompenses à ceux qui veulent développer du LL ... Je ne vois pas où est le problème !

      Je pense que certaines tâches doivent être rémunérées (ce que personne ne veut faire), ou alors qu'il y a très peu de développeurs dans un domaine donné. Je pense par exemple aux logiciels Macromedia Flash, Sonic Foundry Sound Forge, Steinberg Cubase, etc. qui n'ont toujours pas d'équivalence (niveau qualité) en logiciel libre.

      Je pense que se limiter aux logiciels "développé durant le temps libre" risque de restreindre le choix de l'utilisateur en matière de logiciel libre, et on se retrouvera avec des versions Linux des logiciels (propriétaires) cités plus haut.

      Haypo
    • [^] # Re: Oui mais...

      Posté par  . Évalué à 3.

      Il y a la même chose pour TeX : D. Knuth donne une prime à chaque nouveau bug découvert, et la prime double tous les ans.
      http://truetex.com/knuthchk.htm(...)
      http://www-cs-faculty.stanford.edu/~knuth/abcde.html(...)
      • [^] # Re: Oui mais...

        Posté par  . Évalué à 1.

        Dans autre côté, je crois que c'est comme pour le taocp, il a envoyé plein de cheques mais aucun n'a été débité.
        • [^] # Re: Oui mais...

          Posté par  (site web personnel) . Évalué à 2.

          Dans autre côté, je crois que c'est comme pour le taocp, il a envoyé plein de cheques mais aucun n'a été débité.

          Ah ? Je savais pas ... en meme temps ca m'etonne qu'a moitié. Si un jour j'arrive a trouver une erreur dans TeX ou taocp, et que je recois un cheque de D. Knuth, je prefererais encadrer ce cheque plutot que de l'encaisser :)
  • # Le problème c'est le choix ;)

    Posté par  (site web personnel) . Évalué à 3.

    Juste une remarque, il me semble qu'il y a :
    - ceux qui payeraient (et qui payent) très cher pour tenir ceux qui ont trouvé et exploité des failles ;
    - ceux qui payeraient (et qui à priori payeront) pour tenir les failles...

    Voilà un choix important !
  • # Les bounty, c'est super bon !

    Posté par  (site web personnel) . Évalué à 2.

    Autre site de bounty :
    http://www.markshuttleworth.com/bounty.html(...)

    Y'en a pour tout le monde : Python, Mozilla, Gnome, SchoolTool, etc. avec des prix assez intéressants !

    Vous connaissez d'autres sites de bounty ?

    Ca fait un bout de temps que je pense à offrir un prix à celui qui m'écrira une interface graphique (en GTK2) pour la calculatrice dont j'ai arrêté le développement (http://www.haypocalc.com/(...)). Ca serait un prix du genre 15-20€. Quelqu'un est intéressé ? Qu'en dites-vous ?

    @+ Haypo
    • [^] # Re: Les bounty, c'est super bon !

      Posté par  . Évalué à 6.

      Tout d'abord, je trouve cette idée assez géniale :) Je suis toujours enthousiaste quand je vois des gens qui sont "remerciés" de leur contribution en partie par l'argent (bah oui... y en faut pour vivre...) ou qui réussisse à en vivre...

      Cependant, je dis peut-être une connerie mais... est ce que le risque n'est pas que les mecs qui debuggaient comme des fous ne s'intéressent plus qu'aux projets ayant ce genre de pratique et délaissant les autres?

      Si certains projets donnent des récompenses... c'est motivant pour bosser sur ce projets... donc un peu démotivant de bosser pour les autres projets... pourquoi s'embêter à bosser sur une application sans récompense alors qu'on peut également bosser sur une autre application qui offre une récompense...

      Bon j'imagine que les projets "important" (notez l'usage des guillemets) utiliseront ce système... ça se fera donc un peu au détriment des projets "moins important"...

      Mais bon, je me trompe peut-être... et tout le monde ne résonner pas comme ça... mais y a quand même un risque...
    • [^] # Re: Les bounty, c'est super bon !

      Posté par  . Évalué à 3.

      En même temps, est-ce que ça marche les bounty?

      Je me souviens avoir vu ce site il y près d'un an, à peu près au moment ou Ximian/Novell ont mis en place des Bounties pour gnome.

      Je constate que d'après la page, 1 seul bounty a été attribué. Alors soit la page n'est pas à jour, soit, malgré l'argent et les sommes non négligeables proposées, il n'y a pas de volontaires.
    • [^] # Re: Les bounty, c'est super bon !

      Posté par  . Évalué à 2.

      Il y a aussi la "Desktop Integration Bounty Hunt" de Gnome (http://www.gnome.org/bounties/(...)). Il en reste encore pas mal. Enfin, étant donné que la date limite était le 19 avril 2004, ça n'a pas finalement pas eu le succès attendu.
  • # Un peu HS mais je vais pas en faire une news ;-)

    Posté par  . Évalué à 3.

    Comme chacun sait, Trend propose sur son site une version "HouseCall" de son antivirus :
    http://fr.trendmicro-europe.com/consumer/products/housecall_launch.(...)

    Jusqu'alors c'était un ActiveX qui prenait en charge le scan des PC, or Trend a lancé récemment une version béta de son outil, je cite : "surpassing the previous versions by supporting major browsers and operating systems".
    Voilà donc une grande nouvelle : il est maintenant possible de scanner les PC depuis un FireFox ou un Opera, et, chose plus étonnante, la phrase laisse penser qu'il est possible de scanner les fichiers sur "la plupart des OS" (dont Linux?) !

    L'interface est réussi, le tout en java, par contre ça semble un peu lent à charger.
    Le site attend des retours de la phase béta.
  • # Devenir une Star

    Posté par  . Évalué à 3.

    C'est dommage de ne proposer que de l'argent.

    Au lieu de payer des gens, il faudrait afficher leur nom sur la première page de du site Mozilla ou créer sur le même site une rubrique mettant en valeur ces personnes.

    Pour elles cela vaut plus que $ 500.- et pour la Fondation, c'est gratuit.
    • [^] # Re: Devenir une Star

      Posté par  . Évalué à 3.

      C'est vrai ça, c'est bien connu, c'est avec cette rubrique que tu vas payer ton loyer :)

      Comme je disais plus haut, j'ai peu que l'argent produise un effet pervers, en revanche, si ca peut aider ceux qui bossent VRAIMENT pour le libre à vivre... changer de PC (c'est vitale ça)... je trouve ça bien :)

      Combien d'entre nous aimeraient pouvoir vivre du libre? combien en vivent effectivement? vivre de son idéologie, ce serait pas beau tout ça?
    • [^] # Re: Devenir une Star

      Posté par  (Mastodon) . Évalué à 5.

      «Pour elles cela vaut plus que $ 500»

      Comment tu le sais ?
      • [^] # Re: Devenir une Star

        Posté par  (site web personnel) . Évalué à 1.

        Par, exemple, si je suis dev sécu à la recherche de boulot, mais que lors de la LM ou de l'entretien : je montre que j'ai corrigé un Buffer Overflow pour SNORT, amélioré l'interface d'Ethereal, et amélioré d'algo de d'une certaine PKI, je peux te garantir que le salaire sera totalement différent...
  • # "Où est le problème ?"

    Posté par  . Évalué à -5.

    Le problème est bien sûr éthique.

    Mais, retournons le problème en allant peut-être au-delà de condidérations éthiques car, c'est là on mon avis que le bas blesse:

    Vous avez envie de faire un don à la Mozilla fondation parcequ'il fourni un service de qualité au monde entier et ce gratuitement. Vous apprenez l'existance de ce système de récompence. Avez-vous toujours envie de donner sachant que cette argent va servir pour donner des prix exhorbitant en récompence à quelque chose que des milliers de gens faisait gratuitement par pure altruisme et ou par envie d'améliorer des produits qu'ils utilisent et affectionnent ?

    Que l'on paye les développeurs, c'est très bien, que l'on paye quelqu'un pour tester et dire que ça ne marche pas (ce qui ne nécessite aucune conpétence), c'est gâcher de l'argent pas forcément facile à obtenir. Et gacher de l'argent, ça ne donne pas envie de donner.

    Ca me déçois énormément de la part de la Mozilla Fondation qui ne fait pas confience à la générositer des gens, et ou, à leur envie d'améliorer un produit qu'ils utilisent et aprécie.

    Toutes proportion garder, ça me fait pensé à une association carritative qui utilisait ces dons pour louer des grosses voitures pour leurs responsables, car, il y a une image de marque à concerver...
    • [^] # Tout dépend du niveau

      Posté par  . Évalué à -1.

      Si c'est être rémunéré pour simplement une entrée dans le bugzilla, c'est plutot l'impression de gaspi que ca donne.
      Si on file le patch qui va bien et tout et tout, on pourrait dire que c'est mérité.
      A eux de juger si la contribution a été suffisante suivant les détails apportés, la gravité du bug,...

      Je dirais plutot que c'est faire passer la générosité financière, avant les autres types de générosité (notamment immatérielle. exemple : temps passé a debugger, partage d'infos,...)
    • [^] # RTFA

      Posté par  (Mastodon) . Évalué à 7.

      «que l'on paye quelqu'un pour tester et dire que ça ne marche pas (ce qui ne nécessite aucune conpétence), c'est gâcher de l'argent»

      Peut-être qu'en lisant l'article tu aurais vu qu'il ne s'agit pas de cela, mais de payer des gens pour chercher et trouver des failles de sécurité. Si tu penses que trouver des failles de sécurité dans Mozilla ne nécessite aucune compétence, c'est plutôt insultant pour les développeurs de Mozilla ;-)

      Il y a une différence entre rapporter un bug sur lequel on est tombé et chercher activement des angles d'attaque.
  • # Mercenaire du développement

    Posté par  . Évalué à 2.

    Un nouveau métier plein d'avenir !

    Je rappelle au passage qu'en France il faut être inscrit à l'urssaf pour encaisser un bounty, et ne pas oublier de payer les charges hein si on veut que nos enfants puissent aller à l'école.
  • # Problème?

    Posté par  (site web personnel) . Évalué à 2.

    J'aimerais bien comprendre: en quoi le fait de proposer de l'argent pour trouver des failles pose-t-il un problème d'éthique? Cela change-t-il quoi que ce soit à la nature libre de mozilla?

    Pas mal de monde dit qu'il y a un problème d'éthique, mais personne n'a encore dit en quoi c'en était un. Ça doit être tout simplement parce qu'il n'y a pas de problème en dehors de la frilosité de voir "argent" et "libre" côte à côte.
    • [^] # Re: Problème?

      Posté par  . Évalué à 0.

      C'est un problème éthique dans la mesure où les LL sont une oeuvre collective réalisée par des milliers de personnes.

      Pourquoi certains programmeurs devraient être rétribués et pas d'autres ?

      Cet argent serait bien mieux investi dans des publicités télévisées pour en faveur des LL et pour faire contre-poid à celle de M$.

      Toute la communauté bénéficierait des retombées.
      • [^] # Re: Problème?

        Posté par  (Mastodon) . Évalué à 3.

        «Pourquoi certains programmeurs devraient être rétribués et pas d'autres ?»

        C'est déjà le cas actuellement: il y a des développeurs bénévoles et des développeurs rémunérés. Est-ce que ça te choque que des entreprises payent des gens pour travailler sur Linux (ou un autre logiciel libre) ?

        «publicités télévisées [...] Toute la communauté bénéficierait des retombées.»

        Ah parce que quand une faille de sécurité est corrigée, ça n'est pas bénéfique à l'ensemble de la communauté ? :-)
        • [^] # Re: Problème?

          Posté par  . Évalué à 1.

          Les programmeurs payés le sont avec de l'argent de grandes entreprises, contrairement à ceux récompensés pour les failles de sécurité qui le seraient avec de l'argent de la Fondation Mozilla.

          En combien de temps une faille de sécurité non-rémunérée est-elle corrigée ?
          En combien de temps une faille de sécurité rémunérée est-elle corrigée ?

          La différence vaut-elle la peine ?
          Etant donné les ressources financières limitées des LL et la méconnaisance des LL hors d'un public averti, ne vaudrait-il pas mieux investir cet argent dans la promotion des LL que dans la récompense de certains développeurs?

          Pourquoi ne pas lancer un concours de clips publicitaires comme l'ont fait Georges Soros et Mobby pour contrer Georges Bush. ?(http://www.bushin30seconds.org/(...) )
          • [^] # Re: Problème?

            Posté par  (Mastodon) . Évalué à 4.

            Juste un détail, il ne s'agit pas ici de corriger les failles mais de les trouver. La différence, c'est que si personne (de bien intentionné) ne les cherche, alors ce seront des gens mal intentionnés qui vont les trouver.

            Ceci dit, je ne vois pas de problème éthique quant au fait de payer un développeur pour corriger une faille qui me gène, bien que je ne sois pas une entreprise. Il me semble d'ailleurs que la fondation Mozilla s'autorise à payer des gens, alors qu'elle vit de dons.
          • [^] # Re: Problème?

            Posté par  . Évalué à 2.

            Merci pour l'URL, je viens de me mater les 26 clips qui étaient finalistes, et il y a vraiment des choses excellentes.
      • [^] # Re: Problème?

        Posté par  (site web personnel) . Évalué à 1.

        > C'est un problème éthique dans la mesure où les LL sont une oeuvre collective réalisée par des milliers de personnes.
        > Pourquoi certains programmeurs devraient être rétribués et pas d'autres ?

        Eh, rien n'empêche ceux qui veulent être payés de consulter les bounties si ça les chante. Tout le monde est éligible autant que je sache. On ne peut pas interdire à des mécènes de payer des gens pour résoudre certains problèmes.

        > Cet argent serait bien mieux investi dans des publicités télévisées pour en faveur des LL et pour faire contre-poid à celle de M$.

        Des publicités télévisées... Faudrait sortir de vos délires, un peu. :) Ce ne sont pas les publicités qui vont améliorer la qualité de mozilla. Par contre, le cracker qui s'emmerde le soir, s'il touche 500$ pour reporter une faille à la fondation Moz au lieu de l'exploiter en faisant un ver ravageur risquerait presque d'être utile pour l'occasion.

        Ce n'est pas à nous de décider ce que les autres ont à faire de leur argent. La nature de mozilla n'est pas touchée par ces bounties, et franchement il n'y a que de quoi se réjouir de savoir qu'on peut gagner des sioux en participant au libre.
    • [^] # Re: Problème?

      Posté par  (site web personnel) . Évalué à 2.

      Mon expression était personnelle (comme indiquée dans la dépêche).
      Je ne critiquais pas ni trouvais un problème d'éthique à cela. Je trouvais ça triste, et c'est une opinion subjective.

      Les anglais disent souvent que le logiciel libre (free like in free speech) ne doit pas être confondu avec le logiciel gratuit (free like in free beer) les deux sens existant sous un même mot en anglais. Et je partage leur opinion. Je ne vois pas d'inconvénient à ce que quelqu'un vende un logiciel libre pour pouvoir rémunérer son travail qu'il a investit dans ce projet.

      Mon propos s'attachait plus à l'aspect "récompense" (assez similaire des "rewards" dans les westerns pour les gangsters "wanted"). C'est un principe, tout comme la délation contre récompense, qui ne m'inspire pas beaucoup. Et à mon humble avis - mais là encore c'est subjectif - c'est une méthode triste surtout en regard de la philosophie libre.

      Voilà, la remarque finale n'était que personnelle. Elle voulait dire que je n'aurais pas proposer une telle solution - que je trouve triste - mais que je n'y suis pas contre si des gens la souhaitent!

      Jean-Christophe
  • # Une nouvelle faille critique dans Mozilla

    Posté par  (site web personnel) . Évalué à 1.

    Et bien justement, on vient de découvrir une nouvelle faille critique dans Mozilla:

    http://www.k-otik.net/bugtraq/08032004.MozillaNetscape.php(...)

    Un problème de type integer overflow qui affecte Mozilla (<= 1.6) et Netscape (<=7.1)

    Permet d'exploiter du code en local ou à distance.

    Pas de solution officielle pour Netscape à part désactiver le javascript.
    Pour Mozilla, passer à la version 1.7.1

    Les Firefox récents ne devrait donc pas être affectés.

    Ça valait bien un bounty.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.