L’EFF propose son programme de bug bounty

Mieux vaut tard que jamais : l’EFF, positionnée de longue date sur la question des bugs bounty et le traitement des failles de sécurité, présente son propre programme destiné aux chercheurs ayant découvert des vulnérabilités dans ses produits et sites. L’EFF lutte depuis longtemps pour la protection des données personnelles ainsi que pour un renforcement de la sécurité sur le web et dans les logiciels. Il se positionne fréquemment en faveur de la publication responsable des vulnérabilités trouvées au sein des logiciels.

Il était donc plus que temps pour l’EFF de donner l’exemple en initiant un programme de ce type pour ses propres sites et applications. Parmi les différents services et produits concernés par cette initiative, on retrouve ainsi les différents sites web de l’Electronic Frontier Foundation, mais aussi des outils tels les extensions Privacy Badger et HTTPS Everywhere pour Chrome et Firefox ou encore les logiciels développés dans le cadre des programmes Let’s Encrypt !

Pour la gloire et les stickers !

Pour autant, pas la peine d’espérer décrocher le pactole pour une vulnérabilité critique : l’EFF est une organisation non lucrative et son programme de récompense ne prévoit pas de rétribution en monnaie sonnante et trébuchante pour les chercheurs. Vous pourrez ainsi décrocher des stickers, des remerciements ou encore des invitations à des événements organisés par l’organisation pour les vulnérabilités les plus importantes. Un bug bounty pour la gloire donc. Cela risque de refroidir les ardeurs des chercheurs en cybersécurité qui pourraient être tentés de se tourner vers des programmes plus lucratifs.

L’EFF a mis en place une adresse mail, ainsi qu’une clef publique pour réceptionner les vulnérabilités, qui devront être envoyées à l’adresse vulnerabilities@eff.org. L’organisation promet également de publier les vulnérabilités découvertes après une période de 90 jours, le temps de corriger les failles signalées sur leurs programmes.