Le fonds de Mozilla qui sécurise l’open source et le Net

moz love openDans le récent article de Richard Barnes sur tout ce que fait Mozilla pour la sécurité du Net (que nous vous avons traduit), l’ingénieur sécurité décrivait comment Mozilla, grâce à des dotations, aidait ses pairs dans la communauté open source à améliorer leur sécurité grâce au programme Mozilla Open Source Support (MOOS). Un sous-programme appelé Secure Open Source Fund ou SOS Fund a aussi été institué pour sécuriser les solutions open source grâce à des audits.

Chris Riley qui dirige l’équipe Net Policy de Mozilla a donné une interview à opensource.com pour expliquer le fonctionnement de ce fonds.

Les logiciels open source sont une part centrale de l’internet, mais la majorité est développée sans un soutien institutionnel. Malgré leur succès au sein de Mozilla et d’importantes organisations, les programmes de récompenses pour le signalement de bogues de sécurité, connus sous le nom de bug bounty, ne sont pas suffisants. De nombreux projets n’ont pas assez de ressources propres pour payer les sommes nécessaires et régler les problèmes qui émergent alors.

En nous appuyant sur notre histoire en tant qu’une des premières institutions à créer un programme de bug bounty, nous avons institué le SOS Fund pour aider à combler cette lacune. Notre approche consiste à travailler avec des cabinets d’audits externes pour mener une évaluation ponctuelle du projet et de fournir alors le soutien nécessaire au mainteneur du projet pour gérer la réparation. Enfin, nous travaillons avec la personne chargée de l’audit à vérifier les modifications qui ont été faites.

Sécuriser le Net est l’affaire de tous et profite à tous. Mozilla y engage une partie de ses ressources et encourage les autres acteurs à la rejoindre. Mozilla continue à soutenir les organisations et améliore ses processus en tirant les leçons apprises au fur et à mesure.

Pour en savoir plus sur le programme, lisez ce résumé en français de ce billet en anglais du blog officiel de Mozilla.

Chris Riley revient ensuite sur les réussites à mettre au crédit du projet. Des vulnérabilités de sécurité jugées critiques ou au moins très élevées ont été identifiées et corrigées. Elles étaient alors inconnues, tout comme celles découvertes au cours de l’audit de la bibliothèque de traitement du JPEG.

Notre audit a identifié deux problèmes avec le standard JPEG lui-même. En d’autres termes, toute bibliothèque de traitement d’images JPEG conforme au standard – qu’elle soit open source ou non, quelle que soit la source ou le contexte – est sujette aux mêmes vulnérabilités (jugées modérées). Précisément, certains types d’images légitimes déclenchent une surconsommation du processeur central (CPU) ou de la mémoire, menant potentiellement à des plantages du système.

Mozilla ne fait pas juste des logiciels sûrs et fiables, mais participe à la bonne santé de l’écosystème dans lequel elle évolue, pour le bénéfice de tous, utilisateurs de ses produits et services ou pas. C’est ça aussi Mozilla.


@Mozinet, relecture par la communauté

Notre précédent article : Mozilla : comment nous protégeons Internet avec votre aide

Crédit illustrations : Mozilla

Haut de page