10 000 dollars pour sécuriser Firefox 31
mar, 29/04/2014 - 15:58
Firefox 31 sera rendu disponible en juillet. Une mouture que la fondation Mozilla veut particulièrement sécurisée. L'affaire Heartbleed est passé par là.
Ecrire des librairies cryptographiques c'est bien. Mais si ces librairies renforcent la sécurité au lieu de la compromettre c'est mieux. C'est pourquoi Mozilla lance une édition spéciale de son programme Bug Bounty, ou programme de chasse au bug. Pour l'occasion, la prime pour la découverte d'une faille critique est portée à 10 000 dollars, au lieu des 3 000 dollars habituels.
Il s'agit de découvrir une vulnérabilité dans la libraire libPKIX qui est la librairie qui est en charge de la vérification des certificats. Une librairie pour l'occasion réécrite en C++ avec 4167 lignes de code alors que la version précédente représentait 81865 lignes de code C générées par la traduction du code Java originel. Mozilla souligne que cette nouvelle libPKIX bénéficie de fonctionnalités de C++ telle que le nettoyage mémoire.
Pour décrocher la timbale de 10 000 dollars, plusieurs conditions doivent être remplies :
- la vulnérabilité doit se trouver dans ou être causée par security/pkix or security/certverifier telles qu'utilisées par Firefox ;
- la vulnérabilité doit être déclenchée lors d'une navigation web normale (par exemple : visitez le site HTTPS de l'attaquant) ;
- la vulnérabilité doit être décrite avec suffisamment de détails, dont des tests unitaires, des certificats. Dans l'idéal, une preuve de concept permettant à Mozilla de reproduire de reproduire sera fournie.
- la vulnérabilité doit être signalée avant le 30 juin 2014, 23h59. (heure du Pacifique).
Mozilla signale encore que des découvertes de vulnérabilités sortant du cadre strict de ce programme spécial pourraient toutefois se voir récompensées de la prime classique de 3 000 dollars du programme Big Bounty.