Les récompenses sont à la hauteur de la mission spéciale que Mozilla confie à la communauté open source : la fondation offrira jusqu’à 10 000 dollars à ceux qui trouveront des failles de sécurité dans la nouvelle bibliothèque libPKIX.
Celle-ci fera son entrée officielle le 23 juillet prochain, dans la mouture finale de Firefox 31. Liée au moteur de rendu Gecko, elle assurera la gestion des certificats SSL destinés à sécuriser les échanges de données sur le Net. Ses 4167 lignes écrites en C++ contrastent avec les quelque 80 000 lignes de code Java sur lesquelles s’appuie l’actuel système de vérification des certificats électroniques.
En réponse à la faille Heartbleed rendue publique le 7 avril dernier, la fondation Mozilla s’est alignée sur les nombreuses exigences techniques communiquées par le Forum CA/Browser*, dont elle est membre aux côtés d’autres fournisseurs d’applications et d’autorités de certification. Aussi, en attendant la disponibilité générale de Firefox 31, on s’active sur le canal « nightly », où sont publiées les versions instables accessibles aux développeurs.
L’éditeur mène également un travail de fond sur sa propre politique de confiance vis-à-vis des certificats. Il s’agira, entre autres, d’empêcher l’utilisation abusive d’autorités de certification subordonnées ou intermédiaires susceptibles de fournir des certificats SSL sur n’importe quel domaine Internet. C’est dans cette logique que la chasse aux bugs se porte sur les systèmes permettant de construire des chaînes de certificats qui passent pour valides alors qu’ils devraient être rejetés.
Pourront également prétendre à la somme de 10 000 dollars, ceux qui découvriront des brèches pouvant conduire à l’exploitation d’une corruption de mémoire. Mais dans tous les cas, le problème détecté doit se trouver dans le code des modules security/pkix ou security/certverifier. Il appartiendra également aux contributeurs de joindre une documentation au plus tard pour le 30 juin et de s’assurer que le bug soit exploitable dans des conditions de navigation Web normale.
* Le Forum CA/Browser réunit des fournisseurs d’applications utilisant notamment SSL/TLS (GoDaddy, Keynectis, Symantec, Verizon…), ainsi que sept éditeurs : Apple, BlackBerry, Google, KDE, Microsoft, Mozilla, Opera.
—— A voir aussi ——
Quiz ITespresso.fr : que savez-vous des CMS open source ?
Crédit photo : mikeledray – Shutterstock.com
Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…
Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…
L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…
Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…
Comment réduire la taille des mises à jour de Windows 11 ? Microsoft annonce la…
Déjà doté de la sauvegarde automatique, d'un compteur de caractères et de Copilot, Bloc-notes embarque…