Les récompenses sont à la hauteur de la mission spéciale que Mozilla confie à la communauté open source : la fondation offrira jusqu’à 10 000 dollars à ceux qui trouveront des failles de sécurité dans la nouvelle bibliothèque libPKIX.
Celle-ci fera son entrée officielle le 23 juillet prochain, dans la mouture finale de Firefox 31. Liée au moteur de rendu Gecko, elle assurera la gestion des certificats SSL destinés à sécuriser les échanges de données sur le Net. Ses 4167 lignes écrites en C++ contrastent avec les quelque 80 000 lignes de code Java sur lesquelles s’appuie l’actuel système de vérification des certificats électroniques.
En réponse à la faille Heartbleed rendue publique le 7 avril dernier, la fondation Mozilla s’est alignée sur les nombreuses exigences techniques communiquées par le Forum CA/Browser*, dont elle est membre aux côtés d’autres fournisseurs d’applications et d’autorités de certification. Aussi, en attendant la disponibilité générale de Firefox 31, on s’active sur le canal « nightly », où sont publiées les versions instables accessibles aux développeurs.
L’éditeur mène également un travail de fond sur sa propre politique de confiance vis-à-vis des certificats. Il s’agira, entre autres, d’empêcher l’utilisation abusive d’autorités de certification subordonnées ou intermédiaires susceptibles de fournir des certificats SSL sur n’importe quel domaine Internet. C’est dans cette logique que la chasse aux bugs se porte sur les systèmes permettant de construire des chaînes de certificats qui passent pour valides alors qu’ils devraient être rejetés.
Pourront également prétendre à la somme de 10 000 dollars, ceux qui découvriront des brèches pouvant conduire à l’exploitation d’une corruption de mémoire. Mais dans tous les cas, le problème détecté doit se trouver dans le code des modules security/pkix ou security/certverifier. Il appartiendra également aux contributeurs de joindre une documentation au plus tard pour le 30 juin et de s’assurer que le bug soit exploitable dans des conditions de navigation Web normale.
* Le Forum CA/Browser réunit des fournisseurs d’applications utilisant notamment SSL/TLS (GoDaddy, Keynectis, Symantec, Verizon…), ainsi que sept éditeurs : Apple, BlackBerry, Google, KDE, Microsoft, Mozilla, Opera.
—— A voir aussi ——
Quiz ITespresso.fr : que savez-vous des CMS open source ?
Crédit photo : mikeledray – Shutterstock.com
Les dernières migrations de Windows 10 vers Windows 11 vont accélérer l'adoption des PC IA. Mais des…
L’IA générative excelle dans plusieurs cas d’usage, notamment dans l’analyse, la recherche et la synthèse…
Trop tôt pour envisager d'acquérir un PC Copilot+ ? Les roadmaps d'Intel et d'AMD peuvent…
Dévoilés lors du CES 2025, les PC Copilot+ au format convertible restent encore limitée dans…
Les fonctionnalités de Gemini sont intégrées dans la suite bureautique Google Workspace. Conséquence : les…
Au CES 2025, les principaux constructeurs ont annoncé l'arrivée des ordinateurs de bureau dotés de…
