Sécuriser Firefox peut rapporter 10 000 dollars
Mozilla promet une prime spéciale à ceux qui découvriront, avant le 30 juin, des failles dans la nouvelle bibliothèque de vérification des certificats SSL qui fera son entrée cet été avec Firefox 31.
Les récompenses sont à la hauteur de la mission spéciale que Mozilla confie à la communauté open source : la fondation offrira jusqu’à 10 000 dollars à ceux qui trouveront des failles de sécurité dans la nouvelle bibliothèque libPKIX.
Celle-ci fera son entrée officielle le 23 juillet prochain, dans la mouture finale de Firefox 31. Liée au moteur de rendu Gecko, elle assurera la gestion des certificats SSL destinés à sécuriser les échanges de données sur le Net. Ses 4167 lignes écrites en C++ contrastent avec les quelque 80 000 lignes de code Java sur lesquelles s’appuie l’actuel système de vérification des certificats électroniques.
En réponse à la faille Heartbleed rendue publique le 7 avril dernier, la fondation Mozilla s’est alignée sur les nombreuses exigences techniques communiquées par le Forum CA/Browser*, dont elle est membre aux côtés d’autres fournisseurs d’applications et d’autorités de certification. Aussi, en attendant la disponibilité générale de Firefox 31, on s’active sur le canal « nightly », où sont publiées les versions instables accessibles aux développeurs.
L’éditeur mène également un travail de fond sur sa propre politique de confiance vis-à-vis des certificats. Il s’agira, entre autres, d’empêcher l’utilisation abusive d’autorités de certification subordonnées ou intermédiaires susceptibles de fournir des certificats SSL sur n’importe quel domaine Internet. C’est dans cette logique que la chasse aux bugs se porte sur les systèmes permettant de construire des chaînes de certificats qui passent pour valides alors qu’ils devraient être rejetés.
Pourront également prétendre à la somme de 10 000 dollars, ceux qui découvriront des brèches pouvant conduire à l’exploitation d’une corruption de mémoire. Mais dans tous les cas, le problème détecté doit se trouver dans le code des modules security/pkix ou security/certverifier. Il appartiendra également aux contributeurs de joindre une documentation au plus tard pour le 30 juin et de s’assurer que le bug soit exploitable dans des conditions de navigation Web normale.
* Le Forum CA/Browser réunit des fournisseurs d’applications utilisant notamment SSL/TLS (GoDaddy, Keynectis, Symantec, Verizon…), ainsi que sept éditeurs : Apple, BlackBerry, Google, KDE, Microsoft, Mozilla, Opera.
—— A voir aussi ——
Quiz ITespresso.fr : que savez-vous des CMS open source ?
Crédit photo : mikeledray – Shutterstock.com