Mozilla offre 10 000 dollars pour sécuriser Firefox 31
Si le logiciel libre offre des garanties très élevées de fiabilité et de sécurité, du fait de son ouverture permettant à n'importe qui de contribuer à l'amélioration du code source, celles-ci ne sont pas pour autant absolues.
En la matière, l'affaire de la vulnérabilité détectée au début du mois dans la bibliothèque de cryptographie OpenSSL a été très éclairante. Malgré le caractère ouvert du logiciel, il a fallu deux ans pour que soit détecté le bug Heartbleed. Et pour cause : ceux en charge du projet OpenSSL sont très peu nombreux, bénévoles et bénéficiaient (les choses sont en train de changer) de très peu de moyens.
C'est pour cette raison que Mozilla propose depuis plusieurs années déjà un système récompensant la découverte de vulnérabilités critiques, afin justement d'inciter les chercheurs en sécurité informatique à s'investir dans la protection de ses logiciels en les appâtant par de l'argent. Cette stratégie paie (dans tous les sens du terme), aussi la fondation a-t-elle décidé de recommencer.
Jusqu'au 30 juin, une récompense de 10 000 dollars sera attribuée à ceux contribuant au renforcement de sa nouvelle bibliothèque de vérification de certificat, baptisée libPKIX. Écrite en C++, elle est composée de 4167 lignes de code contre 81 865 lignes pour la bibliothèque de vérification de certificat précédente (alors conçue en Java). Ce nouvel élément sera intégré à Firefox 31, dont la sortie doit survenir le 23 juillet.
La récompense sera uniquement versée si certaines conditions sont respectées :
la brèche doit se trouver dans ou être causée par security/pkix or security/certverifier dans Firefox ;
la vulnérabilité doit être déclenchée lors d'une navigation web normale (par exemple : visitez le site HTTPS de l'attaquant) ;
la faille doit être reportée avec assez de détails, incluant les tests unitaires, les certificats ou même une preuve de concept fonctionnelle afin que nous poussions reproduire le problème ;
le bug doit être signalé avant le 30 juin 2014 (23h59, heure du Pacifique).
Ceux détectant un quelconque problème avec libPKIX qui n'entrerait pas dans les conditions édictées ci-dessus demeurent toutefois éligibles au programme de récompenses classique, qui attribue une enveloppe de 3000 dollars lorsqu'un souci de sécurité est signalé.