Mozilla ne veut plus d’un nouveau Heartbleed. Pour augmenter le niveau général de sécurité du logiciel libre, l’éditeur a décidé de créer un fonds de financement pour les audits, avec une mise de départ de 500 000 dollars. La société invite maintenant d’autres acteurs à participer.
Chris Riley, directeur de la politique publique chez Mozilla, fait un constat peu reluisant du monde de la sécurité dans l’open source. Il rappelle notamment les cas des failles Heartbleed et Shellshock, respectivement dans OpenSSL et Bash, la manière dont ils ont été traités et surtout les leçons que l’on peut en tirer.
« En dépit de ces incidents qui donnent à réfléchir, un soutien adéquat pour la sécurisation des logiciels open source reste un problème non résolu, comme un panel de 32 professionnels de la sécurité l’a confirmé en 2015 » explique le responsable dans un billet de blog. « Les logiciels open source sont utilisés par des millions d’entreprises et des milliers d’institutions éducatives et gouvernementales pour des services et applications critiques. De Google à Microsoft en passant les Nations Unies, le code open source est tissé dans la trame même des logiciels qui propulsent le monde ».
Pour Riley cependant, la situation a évolué et un besoin supplémentaire de sécurité est plus que jamais indispensable : « Puisqu'Internet évolue des navigateurs aux objets connectés (voitures et équipements médicaux), la sécurité logicielle devient une question de vie ou de mort ». Il n’est donc plus question que des failles aussi sérieuses que Heartbleed et Shellshock puissent être exploitées pour mettre en danger des vies.
500 000 dollars pour financer des audits de sécurité
Mozilla annonce donc la création d’un fonds spécifique. Nommé Secure Open Source – ou plus simplement « SOS » – il doit permettre « des audits de sécurité, réparations et vérifications pour des projets open source clés ». L’ensemble prend place au sein du programme MOSS (Mozilla Open Source Support), déjà utilisé pour venir en aide notamment aux équipes de développeurs de plusieurs projets open source. Les gestionnaires de ces derniers pourront remplir un formulaire pour être éventuellement sélectionnés par le fonds. Le choix se fait bien entendu sur dossier.
Le fonds SOS est doté d’une mise de départ de 500 000 dollars. Dans un premier temps, cet argent sera utilisé pour financer des audits de sécurité sur des « bibliothèques open source et programmes largement utilisés ». Bien entendu, Mozilla espère fédérer autour de ce mouvement : « Nous voulons voir les nombreux gouvernements et entreprises qui utilise de l’open source nous rejoindre et fournir un soutien financier additionnel ».
La sécurité s'envisage sur la durée
Dans un deuxième temps, Mozilla souhaite que la sécurité devienne un véritable processus sur le long cours, ce qui est évidemment son objectif idéal. Aussi, si elle indique que « ce fonds fournira des bénéfices à court terme ainsi qu’un élan industriel pour renforcer les projets open source », « nous avons besoin d’investir dans l’éducation, les bonnes pratiques et un certain nombre d’autres domaines » pour obtenir « des bénéfices substantiels sur le long terme ».
Ce processus, Mozilla l'envisage en trois étapes principalement. D’abord, l’éditeur se mettra en relation avec les entreprises d’audits de sécurité et règlera la note. Ensuite, un rapprochement avec le ou les gestionnaires du projet pour intégrer les corrections et gérer la publication des informations. Une forme d’accompagnement dans la manière de partager les détails de sécurité sur les problèmes détectés. Enfin, Mozilla repassera à la caisse pour payer la vérification du travail effectué.
L’initiative SOS n’est cependant pas apparue par magie. Le fonds est une idée en développement depuis un certain temps et il a même déjà bénéficié d’une période de rodage. Trois projets ont déjà profité de ce processus (PCRE, libjpeg-turbo et phpMyAdmin). 43 bugs ont été trouvés en tout, dont une faille critique et deux problèmes dans un format d’image très utilisé. L’éditeur est satisfait de ces résultats.
Prévenir plutôt que guérir
Bien que l’on soit au début de cette initiative, il est clair que l’approche de Mozilla va dans le bon sens. Heartbleed et Shellshock ont montré que la dangerosité des failles pouvait s’exprimer autrement qu’au travers de logiciels du quotidien. Comme indiqué par Chris Riley, nombre de composants et technologies open source sont invisibles, mais font partie des couches basses dans les systèmes, réseaux et applications. Des codes critiques qui assurent la bonne marche des informations au quotidien.
Or, plus ces codes sont utilisés, plus les failles les affectant sont dangereuses. Non seulement elles peuvent toucher un plus grand nombre de personnes, mais elles peuvent se révéler difficiles à colmater. Même si le correctif est rapidement disponible, il faut attendre que tous les équipements et systèmes aient été mis à jour. Le fonds SOS va dans ce sens, et la philosophie de Mozilla dans ce domaine est claire : il vaut mieux prévenir que guérir.
Désormais, l’éditeur en appelle donc aux développeurs pour se manifester et faire connaître leurs besoins, et aux entreprises pour participer au financement du fonds. L’initiative SOS pourrait effectivement avoir un impact important sur la sécurité, encore faut-il que les finances suivent, car il semble délicat de lancer des audits pour l’ensemble des projets open source. On soulignera néanmoins l'intérêt de la démarche de Mozilla, qui pourrait fédérer les efforts de sécurisation en créant un lien entre les développeurs – parfois isolés – et les grands entreprises notamment.