SECURITE
 
12/04/2007

Mozilla veut impliquer les experts en sécurité sur Firefox 3.0

La fondation Mozilla fait appel à la communauté des chercheurs pour examiner le code de la future version de Firefox. Une implication en amont qui doit ainsi garantir une meilleure sécurité.
  Envoyer Imprimer  

 
En savoir plus
 
 
 
On ne badine pas avec la sécurité parmi les éditeurs de navigateurs Web. Microsoft longtemps seul sur le secteur avec Internet Explorer l'a déjà appris à ses dépens en collectionnant les alertes de sécurité. La firme a depuis revu sa copie en mettant la sécurité au cœur du développement de la nouvelle mouture de son navigateur.

Du côté du libre et de Mozilla, la sécurité est longtemps restée un argument en faveur de son adoption. La rapidité de correction des failles permise par la communauté Open Source lui permet de continuer d'en faire un de ses principaux atouts. Néanmoins, le navigateur libre n'est pas exempt de vulnérabilités, vulnérabilités amenées à se multiplier du fait de l'augmentation de ses parts de marché. La faille relative au module de gestion des curseurs animés reste, par exemple, encore à colmater.

Le recrutement d'une ancienne employée de Microsoft, Window Snyder, pour occuper le poste de responsable de la sécurité traduit notamment l'engagement de la fondation Mozilla en faveur de la sécurité. Et comme il est toujours préférable de prévenir plutôt que de guérir, Mozilla a décidé cette fois d'impliquer les experts en sécurité dès le développement de la prochaine version de Firefox, la 3.0, attendue en principe pour la fin de cette année - un glissement début 2008 n'est cependant pas à écarter.

Window Snyder espère donc que la communauté des chercheurs en sécurité s'engagera étroitement dans les évolutions de Firefox, la 3.0 mais aussi les éditions ultérieures afin d'accroitre sa sécurité. Le gourou de la sécurité de Mozilla escompte probablement aussi encourager les chercheurs à adopter une démarche de divulgation des failles responsable. Lors d'une convention de hackers en mars, elle avait insisté sur les pouvoirs détenus par les chercheurs.

Une prime de 500 dollars déjà versée par Mozilla pour toute nouvelle faille

Window Snyder avait ensuite défendu le respect d'un délai minimum de 30 jours avant divulgation des détails d'une vulnérabilité. Un laps de temps jugé indispensable par Mozilla pour permettre la publication d'un correctif et ainsi exposer le moins possible les utilisateurs. Microsoft défend également depuis un certain temps cette position. L'éditeur s'est aussi rapproché des experts en sécurité pour éprouver la robustesse de ses produits, notamment Vista et Internet Explorer.

Mozilla de son côté entretient déjà des relations avec la communauté des chercheurs. La Fondation octroie ainsi depuis 2004 une prime de 500 dollars à toute personne rapportant l'existence d'une faille. Un système de rémunération que Microsoft a toujours refusé d'appliquer à ses logiciels afin de ne pas encourager la marchandisation des vulnérabilités et de la sécurité.

 
En savoir plus
 
 
 

Firefox 3.0 devrait donc a priori bénéficier d'une implication en amont des experts en sécurité et ainsi pérenniser son développement pour continuer de remonter le sillon tracé par Microsoft. Sur un plan fonctionnel, la future mouture intégrera notamment la librairie graphique Cairo, une nouvelle version du moteur de rendu HTML, un nouveau gestionnaire de mots de passe et le support hors-ligne - utile au fonctionnement des applications Ajax.



JDN Solutions Envoyer Imprimer Haut de page

Sondage

Votre entreprise évolue-t-elle vers une informatique bimodale ?

Tous les sondages