Si le logiciel libre offre des garanties très élevées de fiabilité et de sécurité, du fait de son ouverture permettant à n’importe qui de contribuer à l’amélioration du code source, celles-ci ne sont pas pour autant absolues. Il peut en effet arriver que le logiciel libre fasse défaut, pour tout un tas de raisons : vérifications insuffisantes, manque de moyens, implication insuffisante de la communauté…
En la matière, l’affaire de la vulnérabilité détectée au début du mois dans la bibliothèque de cryptographie OpenSSL a été très éclairante. Malgré le caractère ouvert du logiciel, il a fallu deux ans pour que soit détecté le bug Heartbleed. Et pour cause : ceux en charge du projet OpenSSL sont très peu nombreux, bénévoles et bénéficiaient (les choses sont en train de changer) de très peu de moyens.
C’est pour cette raison que Mozilla propose depuis plusieurs années déjà un système récompensant la découverte de vulnérabilités critiques, afin justement d’inciter les chercheurs en sécurité informatique à s’investir dans la protection de ses logiciels en les appâtant par de l’argent. Cette stratégie paie (dans tous les sens du terme), aussi la fondation a-t-elle décidé de recommencer.
Jusqu’au 30 juin, une récompense de 10 000 dollars sera attribuée à ceux contribuant au renforcement de sa nouvelle bibliothèque de vérification de certificat, baptisée libPKIX. Écrite en C++, elle est composée de 4167 lignes de code contre 81 865 lignes pour la bibliothèque de vérification de certificat précédente (alors conçue en Java). Ce nouvel élément sera intégré à Firefox 31, dont la sortie doit survenir le 23 juillet.
La récompense sera uniquement versée si certaines conditions sont respectées :
- la brèche doit se trouver dans ou être causée par security/pkix or security/certverifier dans Firefox ;
- la vulnérabilité doit être déclenchée lors d’une navigation web normale (par exemple : visitez le site HTTPS de l’attaquant) ;
- la faille doit être reportée avec assez de détails, incluant les tests unitaires, les certificats ou même une preuve de concept fonctionnelle afin que nous poussions reproduire le problème ;
- le bug doit être signalé avant le 30 juin 2014 (23h59, heure du Pacifique).
Ceux détectant un quelconque problème avec libPKIX qui n’entrerait pas dans les conditions édictées ci-dessus demeurent toutefois éligibles au programme de récompenses classique, qui attribue une enveloppe de 3000 dollars lorsqu’un souci de sécurité est signalé.
+ rapide, + pratique, + exclusif
Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.
Découvrez les nombreux avantages de Numerama+.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Vous voulez tout savoir sur la mobilité de demain, des voitures électriques aux VAE ? Abonnez-vous dès maintenant à notre newsletter Watt Else !