Mozilla crée le fonds « SOS » pour renforcer la sécurité de l'open source

Mozilla crée le fonds « SOS » pour renforcer la sécurité de l’open source

Recherche bonnes volontés

Avatar de l'auteur
Vincent Hermann

Publié dans

Internet

13/06/2016 5 minutes
11

Mozilla crée le fonds « SOS » pour renforcer la sécurité de l'open source

Mozilla ne veut plus d’un nouveau Heartbleed. Pour augmenter le niveau général de sécurité du logiciel libre, l’éditeur a décidé de créer un fonds de financement pour les audits, avec une mise de départ de 500 000 dollars. La société invite maintenant d’autres acteurs à participer.

Chris Riley, directeur de la politique publique chez Mozilla, fait un constat peu reluisant du monde de la sécurité dans l’open source. Il rappelle notamment les cas des failles Heartbleed et Shellshock, respectivement dans OpenSSL et Bash, la manière dont ils ont été traités et surtout les leçons que l’on peut en tirer.

« En dépit de ces incidents qui donnent à réfléchir, un soutien adéquat pour la sécurisation des logiciels open source reste un problème non résolu, comme un panel de 32 professionnels de la sécurité l’a confirmé en 2015 » explique le responsable dans un billet de blog. « Les logiciels open source sont utilisés par des millions d’entreprises et des milliers d’institutions éducatives et gouvernementales pour des services et applications critiques. De Google à Microsoft en passant les Nations Unies, le code open source est tissé dans la trame même des logiciels qui propulsent le monde ».

Pour Riley cependant, la situation a évolué et un besoin supplémentaire de sécurité est plus que jamais indispensable : « Puisqu'Internet évolue des navigateurs aux objets connectés (voitures et équipements médicaux), la sécurité logicielle devient une question de vie ou de mort ». Il n’est donc plus question que des failles aussi sérieuses que Heartbleed et Shellshock puissent être exploitées pour mettre en danger des vies.

500 000 dollars pour financer des audits de sécurité

Mozilla annonce donc la création d’un fonds spécifique. Nommé Secure Open Source – ou plus simplement « SOS » – il doit permettre « des audits de sécurité, réparations et vérifications pour des projets open source clés ». L’ensemble prend place au sein du programme MOSS (Mozilla Open Source Support), déjà utilisé pour venir en aide notamment aux équipes de développeurs de plusieurs projets open source. Les gestionnaires de ces derniers pourront remplir un formulaire pour être éventuellement sélectionnés par le fonds. Le choix se fait bien entendu sur dossier.

Le fonds SOS est doté d’une mise de départ de 500 000 dollars. Dans un premier temps, cet argent sera utilisé pour financer des audits de sécurité sur des « bibliothèques open source et programmes largement utilisés ». Bien entendu, Mozilla espère fédérer autour de ce mouvement : « Nous voulons voir les nombreux gouvernements et entreprises qui utilise de l’open source nous rejoindre et fournir un soutien financier additionnel ».

La sécurité s'envisage sur la durée

Dans un deuxième temps, Mozilla souhaite que la sécurité devienne un véritable processus sur le long cours, ce qui est évidemment son objectif idéal. Aussi, si elle indique que « ce fonds fournira des bénéfices à court terme ainsi qu’un élan industriel pour renforcer les projets open source », « nous avons besoin d’investir dans l’éducation, les bonnes pratiques et un certain nombre d’autres domaines » pour obtenir « des bénéfices substantiels sur le long terme ».

Ce processus, Mozilla l'envisage en trois étapes principalement. D’abord, l’éditeur se mettra en relation avec les entreprises d’audits de sécurité et règlera la note. Ensuite, un rapprochement avec le ou les gestionnaires du projet pour intégrer les corrections et gérer la publication des informations. Une forme d’accompagnement dans la manière de partager les détails de sécurité sur les problèmes détectés. Enfin, Mozilla repassera à la caisse pour payer la vérification du travail effectué.

L’initiative SOS n’est cependant pas apparue par magie. Le fonds est une idée en développement depuis un certain temps et il a même déjà bénéficié d’une période de rodage. Trois projets ont déjà profité de ce processus (PCRE, libjpeg-turbo et phpMyAdmin). 43 bugs ont été trouvés en tout, dont une faille critique et deux problèmes dans un format d’image très utilisé. L’éditeur est satisfait de ces résultats.

Prévenir plutôt que guérir

Bien que l’on soit au début de cette initiative, il est clair que l’approche de Mozilla va dans le bon sens. Heartbleed et Shellshock ont montré que la dangerosité des failles pouvait s’exprimer autrement qu’au travers de logiciels du quotidien. Comme indiqué par Chris Riley, nombre de composants et technologies open source sont invisibles, mais font partie des couches basses dans les systèmes, réseaux et applications. Des codes critiques qui assurent la bonne marche des informations au quotidien.

Or, plus ces codes sont utilisés, plus les failles les affectant sont dangereuses. Non seulement elles peuvent toucher un plus grand nombre de personnes, mais elles peuvent se révéler difficiles à colmater. Même si le correctif est rapidement disponible, il faut attendre que tous les équipements et systèmes aient été mis à jour. Le fonds SOS va dans ce sens, et la philosophie de Mozilla dans ce domaine est claire : il vaut mieux prévenir que guérir.

Désormais, l’éditeur en appelle donc aux développeurs pour se manifester et faire connaître leurs besoins, et aux entreprises pour participer au financement du fonds. L’initiative SOS pourrait effectivement avoir un impact important sur la sécurité, encore faut-il que les finances suivent, car il semble délicat de lancer des audits pour l’ensemble des projets open source. On soulignera néanmoins l'intérêt de la démarche de Mozilla, qui pourrait fédérer les efforts de sécurisation en créant un lien entre les développeurs – parfois isolés – et les grands entreprises notamment.

Écrit par Vincent Hermann

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

500 000 dollars pour financer des audits de sécurité

La sécurité s'envisage sur la durée

Prévenir plutôt que guérir

Commentaires (11)


Initiative louable … mais créer un fond de soutient permanent aux projets critique pour ne plus avoir des problèmes de ressource ça serait pas mal aussi. Il y a bien trop d’entreprise qui utilise plein de LL sans reversé 1centimes … bref il y a encore pas mal de chemin a faire …


Il s’agit bien d’un fonds à vocation permanente pour centraliser les efforts, c’est indiqué dans l’actualité. 


Je pense que @Mimoza parle d’un fond pas seulement axé sur la sécurité.


Le nom de ce fond n’inspire pas confiance. J’ai l’impression qu’ils sont désespérés.


Ouais, enfin. Il y a deux ans de ça, en réaction à Heartbleed, la Linux Foundation avait déjà lancé le projet Core Infrastructure Initiative, en réussissant à convaincre un certain nombre d’entreprises (Amazon, Cisco, Dell, Facebook, Google, HP, IBM, Intel, Microsoft…) d’y contribuer.



Projet qui semble toujours d’actualité, puisque la fondation publie régulièrement des communiqués sur les nouveaux programmes. Au début du mois, il y en avait encore un sur le financement d’outils permettant de mieux découvrir les problèmes de sécurité lors du développement d’applications web.



Je serais donc curieux de savoir si le programme de Mozilla apporte réellement quelque chose en plus, ou si c’était uniquement pour pouvoir se mettre en avant.


Comme le suggère le wiki, ce truc ne concerne que les gros projets ayant une implication directe sur internet.

Et puis il faut aimer le full disclosure…


quelle beauté d’âme… 

heu il permettra de l’optimisation fiscale comme les autres ce fond oui ?


Ils auraient dû l’appeler le Puissant Fonds ? <img data-src=" />


ça aurait été mieux. Le nom qu’ils ont donné est pareil à Holding des Entreprises Libres Privées, ou aussi écrit HELP de manière abrégée.








psn00ps a écrit :



Ils auraient dû l’appeler le Puissant Fonds ? <img data-src=" />





joli <img data-src=" />









psn00ps a écrit :



Ils auraient dû l’appeler le Puissant Fonds ? <img data-src=" />





<img data-src=" />