Mozilla met à l’épreuve le système de vérification des certificats de Firefox 31
10 000 dollars mis à la disposition des hackers

Mozilla a annoncé une nouvelle librairie de vérification de certificat pour ses nouveaux produits. Nommé libpkix, elle est plus robuste et maintenable que la précédente. Elle gère mieux les politiques de certification requise pour les certificats EV (Enhanced Validation). Elle a été conçue en C++ avec seulement 4 000 lignes de codes contrairement à la librairie classique écrite en Java puis transcrit en C avec près de 82 000 lignes de code ; cette dernière étant pour les vérifications de certificats DV (Domain Validated).

La société a aussi lancé un appel à la communauté pour tester la compatibilité et la sécurité de la nouvelle librairie avec Firefox 31. Les développeurs C++ sont également appelés à lire et tester le code source de la librairie. Pour motiver la communauté à répondre à son appel, Mozilla a alors décidé d’offrir une prime de 10 000 dollars pour les failles de sécurité critiques qui seront découvertes dans le code source. La date limite de l’offre est pour fin juin prochain. Les utilisateurs peuvent déjà tester la nouvelle librairie avec les versions Nightly de Firefox 31.

Pour prétendre à la prime, la vulnérabilité doit:

  • être dans, ou causée par, le code de sécurité de pkix ou de vérification de certificat que Mozilla utilise ;
  • être déclenchée par une navigation web normale (par exemple "visitez le site HTTPS du pirate") ;
  • être signalée avec suffisamment de détails, y compris les tests unitaires, les certificats, ou même une preuve de fonctionnement ;
  • être signalée au plus tard le 30 juin 2014 à 23h 59min (Heure du pacifique).


Concernant les bugs de sécurité qui ne respectent pas les conditions ci-dessus, une prime pouvant atteindre 3 000 dollars sera offerte. Pour participer à la chasse aux bogues, il suffit d’envoyer une description de la faille sur le site https://bugzilla.mozilla.org/ et ensuite envoyer l’ID du bogue à security@mozilla.org. Au cas où vous n’arriveriez pas à envoyer le bogue sur le site, vous pourriez utiliser l’adresse email pour envoyer tous les détails de la faille que vous avez découverte.

Source : blog Mozilla

Et vous ?

Avez-vous testé libpkix ? Qu'en pensez-vous ?