Les récompenses sont à la hauteur de la mission spéciale que Mozilla confie à la communauté open source : la fondation offrira jusqu’à 10 000 dollars à ceux qui trouveront des failles de sécurité dans la nouvelle bibliothèque libPKIX.
Celle-ci fera son entrée officielle le 23 juillet prochain, dans la mouture finale de Firefox 31. Liée au moteur de rendu Gecko, elle assurera la gestion des certificats SSL destinés à sécuriser les échanges de données sur le Net. Ses 4167 lignes écrites en C++ contrastent avec les quelque 80 000 lignes de code Java sur lesquelles s’appuie l’actuel système de vérification des certificats électroniques.
En réponse à la faille Heartbleed rendue publique le 7 avril dernier, la fondation Mozilla s’est alignée sur les nombreuses exigences techniques communiquées par le Forum CA/Browser*, dont elle est membre aux côtés d’autres fournisseurs d’applications et d’autorités de certification. Aussi, en attendant la disponibilité générale de Firefox 31, on s’active sur le canal « nightly », où sont publiées les versions instables accessibles aux développeurs.
L’éditeur mène également un travail de fond sur sa propre politique de confiance vis-à-vis des certificats. Il s’agira, entre autres, d’empêcher l’utilisation abusive d’autorités de certification subordonnées ou intermédiaires susceptibles de fournir des certificats SSL sur n’importe quel domaine Internet. C’est dans cette logique que la chasse aux bugs se porte sur les systèmes permettant de construire des chaînes de certificats qui passent pour valides alors qu’ils devraient être rejetés.
Pourront également prétendre à la somme de 10 000 dollars, ceux qui découvriront des brèches pouvant conduire à l’exploitation d’une corruption de mémoire. Mais dans tous les cas, le problème détecté doit se trouver dans le code des modules security/pkix ou security/certverifier. Il appartiendra également aux contributeurs de joindre une documentation au plus tard pour le 30 juin et de s’assurer que le bug soit exploitable dans des conditions de navigation Web normale.
* Le Forum CA/Browser réunit des fournisseurs d’applications utilisant notamment SSL/TLS (GoDaddy, Keynectis, Symantec, Verizon…), ainsi que sept éditeurs : Apple, BlackBerry, Google, KDE, Microsoft, Mozilla, Opera.
—— A voir aussi ——
Quiz ITespresso.fr : que savez-vous des CMS open source ?
Crédit photo : mikeledray – Shutterstock.com
Microsoft lance Phi-3-mini, un petit modèle de langage (SLM) qui s'adresse aux entreprises ne disposant…
Quelle part d’incertitude faut-il accepter dans la mise en conformité des IA avec le RGPD…
Microsoft a dévoilé les prix des mises à jour de sécurité étendues pour Windows 10.…
Docaposte a sélectionné une douzaine de spécialistes français pour créer un Pack cybersécurité spécialement étudié…
La Surface Pro 10 sera disponible le 9 avril en France. Passage en revue de…
Que réserve Office 2024 ? Une première version de test officielle sera disponible en avril.…