Construire un navigateur sécurisé

Logo de Mozilla Winter of SecurityFirefox occupe une place majeure sur l’internet et il est de la responsabilité de Mozilla de le protéger. Des centaines de millions de personnes utilisent Firefox pour accéder au Web. C’est un public gigantesque pour les fonctionnalités de sécurité et les protections tournées vers l’utilisateur que nous intégrons à Firefox et, dans le même temps, une seule vulnérabilité de sécurité peut exposer tous nos utilisateurs au risque de prise de contrôle de leurs ordinateurs ou téléphones par des tiers mal intentionnés. Nous mettons donc beaucoup d’énergie dans la détection et la correction des failles de sécurité de Firefox aussi rapidement que possible. En plus de notre équipe de chasseurs de bogues spécialisés, Mozilla utilise un des plus anciens programmes de récompenses pour les bogues (bug bounty) sur le Web afin d’encourager les chercheurs en sécurité à remonter les vulnérabilités de sécurité. Au cours de cette année, les chercheurs indépendants ont pour l’instant signalé plus de 130 failles graves que nous n’avions pas encore trouvées. Sans notre communauté de chercheurs en sécurité, chaque utilisateur de Firefox serait plus en danger.

L'équipe RustMozilla investit également dans les technologies fondamentales pour éviter l’apparition de ces vulnérabilités de sécurité. Le langage de programmation Rust est spécialement conçu pour garantir que plusieurs types importants de vulnérabilités de sécurité ne puissent tout simplement pas advenir, y compris celle qui a mené à la tristement célèbre vulnérabilité Heartbleed. Il est littéralement impossible d’écrire un programme en Rust qui contiendrait une de ces vulnérabilités de sécurité. Même si Rust a débuté chez Mozilla, il ne lui aurait cependant pas été possible d’arriver à maturité aussi rapidement pour obtenir un langage prêt pour la production s’il n’y avait plus de 1 500 contributeurs pour l’y aider. Nous avons commencé à utiliser Rust dans Firefox pour quelques petites choses, mais d’autres membres de la communauté ont déjà utilisé Rust pour créer un moteur de rendu de Doom, le remplacement d’utilitaires Unix de base et même un système d’exploitation complet, tous intrinsèquement protégés d’une large gamme de vulnérabilités de sécurité.

Tor BrowserNous poussons le bouchon sur la sécurité du navigateur encore plus loin d’une autre manière à travers notre collaboration étroite avec le projet Tor. Tor Browser est une variante de Firefox qui fournit aux utilisateurs des fonctions augmentées de confidentialité et la possibilité de naviguer sur le Web anonymement. Par exemple, le système SecureDrop utilise Tor pour permettre aux sources de transmettre les documents aux journalistes sans craindre d’être identifiées. Nous sommes profondément reconnaissants pour toutes les nouvelles idées et le code de qualité que la communauté Tor a donnés au Web, et nous travaillons étroitement avec l’équipe du Tor Browser pour intégrer leurs innovations à Firefox afin d’apporter à tous les utilisateurs plus d’options de protection de la vie privée.

Construire un Web sécurisé

Pourtant, le Web ne se résume pas à Firefox. C’est un réseau complet d’ordinateurs, d’individus et d’entreprises travaillant ensemble. Les ingénieurs en sécurité de Mozilla travaillent constamment avec d’autres acteurs de l’écosystème du Web pour améliorer la sécurité des technologies fondamentales qui font fonctionner le Web.

INRIA : Bordeaux – centre de rechercheNous le faisons en partie à travers les organisations de standardisation, telles que l’Internet Engineering Task Force et le World Wide Web Consortium. Ces organisations constituent des points de convergence pour les éditeurs de navigateurs web, les exploitants de serveurs web et d’autres personnes qui veulent aider à rendre le Web meilleur. L’équipe de Mozilla redouble d’efforts pour faire des choses comme mettre à niveau des systèmes basiques de chiffrement pour le Web et augmenter la sécurité de l’authentification sur le Web. Mais ces efforts n’aboutissent que lorsque nous les faisons en collaboration avec beaucoup d’autres organisations. Par exemple, nous nous sommes récemment réunis avec Google, Facebook, Cloudflare, l’INRIA et d’autres pour tester les derniers protocoles de chiffrement et nous avons montré le fonctionnement de plusieurs systèmes différents provenant de différents fournisseurs travaillant ensemble.

Nous jouons encore un rôle de plus en tant que mainteneur du programme de certification racine de Mozilla qui est utilisé par de nombreux projets open source pour déterminer les certificats numériques qu’ils doivent accepter pour identifier les sites web. Maintenir la confiance dans le système de certification numérique est essentiel pour entretenir la confiance dans le Web, et Mozilla est le seul navigateur à avoir un processus pleinement ouvert et basé sur la communauté pour décider quels certificats sont dignes de confiance.

Let's EncryptEnfin, il nous arrive d’avoir à créer une partie de l’écosystème quand nous identifions un manque. Il y a quelques années, nous avons remarqué que la complexité et les coûts pour obtenir un certificat étaient des freins à la sécurité dans le Web. Nous avons donc uni nos forces à celles de l’EFF, Cisco, Akai et d’autres pour créer Let’s Encrypt, une autorité de certification qui offre automatiquement et gratuitement des certificats aux sites web. En moins d’un an, Let’s Encrypt a aidé à sécuriser plus de 14 millions de sites web – la plupart n’avaient jamais eu de sécurité auparavant. Cela n’aurait pas été possible sans toute l’équipe de partenaires industriels et de contributeurs de la communauté.

Construire une communauté autour de la sécurité

Encryption – Mozilla AdvocacyBien sûr, sécuriser l’internet n’est pas qu’un défi technique. Cela exige une large communauté de personnes informées pour aider à guider les entreprises et les gouvernements à prendre les bonnes décisions pour rendre l’internet plus sûr. C’est pour cela que, plus tôt cette année, nous avons initié une campagne pour éduquer davantage de personnes au chiffrement et que nous continuons à fournir des outils pour éduquer les internautes sur la façon de rester en sécurité sur le Web.

Nous aidons nos pairs dans la communauté open source à améliorer leur sécurité. Le programme Mozilla Open Source Support a donné plus de 728 000 € en financement de projets open source cette année, la majorité centrée sur l’amélioration de la sécurité. Les dotations de MOOS ont soutenu Tor, le système d’exploitation améliorant la vie privée Tails, le serveur HTTP Candy (qui assure une sécurité automatique), un paquet d’audits de sécurité et plusieurs autres projets de sécurité dans tout l’écosystème open source.

Il faut tout un village

Comme vous pouvez le voir, notre effort de sécurité chez Mozilla est profondément lié avec le travail du reste de la communauté – chercheurs indépendants, agences gouvernementales, partenaires industriels, utilisateurs intéressés et plus. Chaque pièce de cette machine complexe est essentielle ; supprimer n’importe laquelle de ces pièces et tout le monde sera moins en sécurité. Si vous voulez suivre ce que prépare l’équipe sécurité de Mozilla, gardez un œil sur notre blog Sécurité.


Traduction et relecture : Sara, Mozinet, Hellosct1, Vincent, Théo, Goofy et anonymes

Illustrations (rajoutées par MozFr) – Tous droits réservés :

  1. Mozilla
  2. Mozilla Winter of Security
  3. Rust
  4. Tor Project
  5. INRIA
  6. Let’s Encrypt
  7. Mozilla Advocacy