BlogZiNet

Jay Sullivan, COO de Mozilla, y chapeaute une nombreuse variété d’équipes y compris celles de Firefox OS. Cela lui confère une autorité pour parler de la vision de Mozilla concernant la personnalisation dans le respect :

La mission de Mozilla nous oblige à fournir aux gens une expérience Internet qui leur permette de contrôler leur vie en ligne et qui les traite avec respect. Respecter une personne englobe de respecter sa vie privée. Nous aspirons à un principe de « sans surprise » : l’idée est que, lorsque des informations sont recueillies sur une personne, ce doit être en toute conscience et ce doit être utilisé de manière à bénéficier à cette personne. Les gens devraient être conscients de la façon dont les informations sont recueillies et utilisées. Chaque individu devrait également être en mesure de décider si l’échange de données à caractère personnel pour les services reçus en retour semble juste. Cela peut être difficile à atteindre, surtout quand c’est mis en balance avec la commodité et la facilité d’utilisation : les gens attendent une expérience utilisateur rapide et simplifiée sans invites excessives ni choix déroutants. Mais nous nous efforçons de toujours tendre vers cet idéal.

Mozilla est un participant actif à l’écosystème de l’économie du Web d’aujourd’hui. Une grande partie du contenu et des informations que les gens apprécient et dont ils bénéficient est financée par le marketing et le parrainage numériques. Il s’agit d’un business model valide. Nous pensons simplement que lorsque les données personnelles sont collectées pour fournir ces services, la collecte doit être faite avec respect et avec le consentement du consommateur. Le commerce fonctionne mieux lorsque les utilisateurs comprennent les transactions auxquelles ils prennent part. Les meilleures relations à long terme avec le consommateur sont bâties sur la confiance.

Mozilla aspire à permettre la personnalisation — la personnalisation des annonces publicitaires, des contenus, des recommandations, des offres et plus — qui ne repose pas sur le fait que le client reste dans l’ignorance de qui a accès à ces informations et avec qui ces informations sont partagées. En tant que fournisseur majeur de navigateur Web et, maintenant, développeur de système d’exploitation, le rôle de Mozilla est d’expérimenter et d’innover avec cette aspiration pour objectif. En tant que projet open source, où les contributions sont bien accueillies par tous, nous encourageons tout le monde dans l’industrie à aider, en proposant des approches constructives et en collaborant avec nous au grand jour.

Voici quelques exemples du travail que Mozilla fait pour explorer la personnalisation dans le respect :

• Persona est un système d’identité pour le Web. Il donne aux gens la maîtrise de leurs connexions sur le Web. Les gens choisissent quelle identité présenter à un service donné. En particulier, les gens peuvent garder les facettes de leur vie – travail, personnel et autres – distinctes.
• Do Not Track permet de dire à un site Web que vous souhaitez vous retirer du pistage par les tiers à des fins notamment de publicité comportementale. Il permet aux utilisateurs d’exprimer comment ils aimeraient que les informations sur eux-mêmes soient traitées. Ça présente de nombreux avantages. Les personnes qui utilisent Firefox doivent activement permettre le Do Not Track (Ne pas me pister), s’assurant ainsi très clairement que l’utilisateur a effectué un choix explicite. Aussi, Do Not Track est indépendant de toute technologie particulière, fournissant de la résilience face à l’évolution de la technologie. Nous continuons à travailler avec un large éventail de parties intéressées pour voir le Web adopter Do Not Track.
• Les politiques de cookies tiers ont été évaluées pour un meilleur équilibre entre publicités personnalisées et pistage des utilisateurs à travers le Web sans leur consentement. Par exemple, une version expérimentale de Firefox autorise les cookies à être installés par les parties premières et par les tiers pour qui Firefox a stocké un cookie pour le domaine de la partie, mais va bloquer les cookies tiers par défaut dont le domaine n’est pas connu du stockage des cookies de Firefox. Nous avons évalué cette approche, aussi bien que les autres, en travaillant avec les parties prenantes de l’industrie.

Il devrait être possible de faire plaisir aux utilisateurs (et oui, la bonne offre au bon moment peut être un grand plaisir), tout en les traitant avec respect. Nous continuons à expérimenter et à évaluer de nouvelles façons de donner aux utilisateurs le contrôle de leur expérience sur le Web et vous invitons à nous rejoindre pour réaliser cette vision. Nous partagerons bientôt plus de nouvelles.

Le document original et cette traduction sont soumis aux conditions de la licence
Creative Commons : « Paternité – Partage des conditions initiales à l’identique 3.0 »
ou toute version postérieure.

Cette tribune intervient alors que les négociations au W3C sur l’adoption du DNT par le monde de la publicité semblent tourner court. Jonathan Mayer, qui avait le premier parler de la nouvelle politique pour les cookies de Mozilla avant qu’elle soit explicitée par Alex Fowler, semble lier la décision de Mozilla de bloquer les cookies tiers par défaut au refus des publicitaires de prendre en considération la volonté exprimée par les internautes par le biais du DNT.

Ainsi, l’échéance approche pour que Firefox 21 fournisse à tous ses utilisateurs un choix ternaire pour mieux exprimer leur volonté de ne pas être pistés (ou d’être pistés). Volonté qui est dorénavant « suivie » par Mozilla : Alex Fowler a annoncé la semaine dernière la mise à disposition du public d’un tableau de bord montrant le niveau d’adoption du DNT par les utilisateurs de Firefox. Vous le voyez ce sujet est brûlant et, comme l’annonce Jay Sullivan en fin de billet, nous ne tarderons pas à en recevoir des nouvelles fraîches.

Le mois d’avril n’est pas fini, pourtant je publie cette sélection de l’actualité du projet Mozilla riche en ce mois d’avril. Gageons qu’il ne se passera rien d’important pour ces trois derniers jours. Vous retrouverez de toute façon ces nouvelles sur nos fils Identi.ca et Twitter de MozillaZine-fr.org.

L’actualité d’avril a déjà été particulièrement abondante avec la célébration des 15 ans de Mozilla, de nombreuses nouvelles fonctionnalités annoncées, un moteur d’affichage de nouvelle génération en collaboration avec Samsung, la présentation du nouveau siège de Paris, la démission du P-DG de MoCo, la sortie avec rupture de stocks immédiate des premiers téléphones sous Firefox OS, une actualité politique chargée et bien d’autres nouvelles.

J’en profite pour remercier Clochix chez qui je pique pas mal de nouvelles.

En février du côté de Mozilla, on a pu voir Firefox communiquer sans plugin avec Chrome de Google, Firefox adopter la politique pour les cookies de Safari d’Apple, le lancement officiel au Mobile World Congress de Barcelone de Firefox OS avec de nombreux partenaires et bien plus.

Le Manifeste de Mozilla est un exposé des principes qui forment la colonne vertébrale de Mozilla. J’ai modestement participé à la traduction française officielle que vous pouvez lire sur le site de Mozilla. Le Manifeste est longtemps resté scotché à une prudente version 0.9. La présidente de la fondation Mozilla, Mitchell Baker, évoque aujourd’hui une évolution (pas une révolution) vers une version « finale » 1.0 :

Le Manifeste de Mozilla identifie un ensemble de principes qui nous paraissent essentiels à Internet pour qu’il continue à bénéficier à tous, à la vie commerciale et à la réussite personnelle. Pour ceux qui s’intéressent à l’histoire et au développement de Mozilla, ce billet de 2007 explique pourquoi le Manifeste de Mozilla a été écrit et quels étaient ses objectifs.

En 2007, nous avons donné au Manifeste de Mozilla une dénomination « 0.9 » et avons commencé à l’utiliser comme une référence pour notre travail. Mon plan était à l’époque de voir si la traduction du Manifeste de Mozilla provoquait des questions ou des suggestions d’améliorations avant de passer à une version 1.0. Nous avons vu de nombreuses traductions (35 langues à ce jour). D’une manière inattendue, la version 0.9 s’est avérée extrêmement résistante et nous ne l’avons pas changée pour une version « 1.0 ».

Nous sommes arrivés au 15^ème anniversaire de Mozilla, c’est le bon moment pour faire quelques petites modifications et reconnaître ceci comme notre version 1.0. Pour ce faire, nous avons recueilli les commentaires de la communauté Mozilla au cours des 12 derniers mois, par le biais d’ateliers organisés aux MozCamps et au festival de Mozilla. Ayant examiné tout ce qui a été dit jusqu’à présent, nous proposons 3 changements aux 10 principes énoncés dans le manifeste.

1. Ajouter une référence à « la vie privée »

Préserver la vie privée des utilisateurs est une valeur fondamentale de Mozilla. Dans la version 0.9, la référence à la « sécurité » dans le principe 4 devait impliquer la « vie privée ». Cependant, l’expérience a montré que le texte n’est pas lu de cette façon. Et donc nous proposons de modifier le principe 4 pour y ajouter une référence explicite :

La sécurité des personnes et la vie privée sur Internet sont fondamentales et ne peuvent pas être considérées comme optionnelles.

2. Rendre tous les principes exprimables en 140 caractères

À tort ou à raison, être capable de faire un point en 140 caractères est maintenant une façon extrêmement utile (et parfois nécessaire) de transmettre de l’information. Rendre chaque principe « tweetable » nous aide à les communiquer. En outre, nous pensons que nous pouvons le faire sans perdre les messages clés et que les versions abrégées sont plus claires. Pour ce faire, 3 principes - 1, 6 et 9 - doivent être raccourcis. Nous proposons :

1 : Internet fait partie intégrante de la vie moderne - éducation, communication, collaboration, affaires, divertissement et société.

6 : La réalité d’Internet en tant que ressource publique dépend de l’interopérabilité, de l’innovation et d’une participation décentralisée mondiale.^*

9 : L’investissement commercial dans Internet apporte de nombreux bénéfices ; un équilibre entre les objectifs commerciaux et l’intérêt public est crucial.^*

3. Renforcer la référence aux personnes qui sont capables de créer leur propre expérience

La mission de Mozilla implique de donner aux gens le pouvoir d’agir, de passer du statut de consommateurs à celui de créateurs de leur vie en ligne. Une reformulation du principe 5 rend la partie « créer et faire » beaucoup plus claire :

Chacun doit avoir la possibilité de façonner Internet et son utilisation.

Un résumé est disponible des retours des MozCamps et du festival de Mozilla - c’était le document que nous avions examiné en imaginant les propositions ci-dessus. S’il y a quelque chose d’important que vous pensez ne pas avoir été pris en considération, faites-le nous savoir. Si vous pensez que l’un de ces changements est insensé ou destructeur, faites-le nous savoir aussi. Vous pouvez commenter les modifications proposées dans le forum sur la gouvernance.

Sur MozillaZine-fr, j’ai commis une rétrospective de Mozilla en 2012 (avec la participation pour la conclusion d’Hervé). Bonne lecture !

J’ai accepté de rédiger des billets sur le blog de FrenchMozilla. Le sujet de ma première contribution ne surprendra pas les lecteurs de ce blog (directement ou repris par « le » planète Mozilla francophone) : Personnaliser Firefox et Thunderbird avec les modules complémentaires.

Merci à Goofy (sans qui je n’en serais pas là ) pour ses précieuses corrections.

Outre le présent blog, je publie (ou republie) toujours sur MozillaZine-fr, bien que les derniers articles ne soient pas de moi. MZ-fr n’a pas une activité folle mais, pour l’actualité de Mozilla en français, vous pouvez suivre son compte Twitter ou celui d’Indenti.ca. Je ne suis pas très prolixe sur mon propre compte Twitter ni sur mon compte d’Identi.ca d’ailleurs.

Voilà résumées mes principales activités pour le projet Mozilla (qui connaît actuellement quelques remous)…

Comme les versions 10.0.2 de Firefox et de Thunderbird, les versions anciennes encore supportées (jusqu’au 24 avril 2012) de Firefox et Thunderbird viennent corriger la faille critique de la bibliothèque libpng. Cette vulnérabilité peut provoquer un débordement de tampon lors de la décompression de certaines images PNG. Cela peut conduire à un plantage qui est potentiellement exploitable.

On notera aussi que des versions ESR 10.0.2 sortent également pour corriger cette vulnérabilité de sécurité.

Télécharger Firefox 3.6.27 en français

• Firefox 3.6.27 pour Windows [fr]
• Firefox 3.6.27 pour Mac OS X [fr]
• Firefox 3.6.27 pour Linux [fr]

Télécharger Thunderbird 3.1.19 en français

• Installeur pour Windows [fr]
• Mac OS X Universel [fr]
• Linux [fr]

Mozilla a de grands projets pour 2012 allant bien au-delà du navigateur. Mozilla compte bien être en accord avec ses principes et notamment le respect de la vie privée et de la maîtrise par l’utilisateur de ses données personnelles, sujets sur lesquels réfléchissait déjà Mozilla.

Je comptais seulement évoquer le billet de Mitchell Baker, la présidente de Mozilla, sur la souveraineté de l’utilisateur pour nos données, mais vous pouvez désormais le lire en français traduit par Clochix, avant une autre traduction du billet de Ben Adida que celle que je vous propose maintenant.

Mozilla va offrir de nouveaux services centrés sur l’utilisateur en 2012

Chez Mozilla, nous nous sommes depuis longtemps concentrés sur le développement de logiciels qui donnent aux utilisateurs le contrôle sur leur vie en ligne. Cela signifie concevoir de façon à donner aux gens des idées plus profondes sur la façon dont le Web fonctionne, des fonctionnalités logicielles uniques pour personnaliser leur expérience en ligne et la maîtrise de leurs données personnelles. Dernièrement, nous avons réfléchi sur la façon dont la souveraineté de l’utilisateur a grandi pour dépendre plus que juste du navigateur. De nombreux sites Web stockent des données d’utilisateurs étendues et agissent au nom de l’utilisateur. Alors que le navigateur peut être entièrement sous contrôle de l’utilisateur, de nombreux services que les utilisateurs aiment ne le sont pas. Parfois, ces services Web gèrent les données d’une manière douteuse pour l’utilisateur, voire nuisible.

Il est clair que les besoins de Mozilla pour accélérer et fournir, en plus du navigateur Firefox, certains services afin d’améliorer le contrôle des utilisateurs sur leur expérience en ligne et leur données personnelles. La présidente de Mozilla, Mitchell Baker, le dit de cette façon (NDT : traduit en français) :

Je crois qu’il est impératif que nous développions de nouvelles offres. Pour les multiples aspects de la vie en ligne, nous avons besoin de plateformes ouvertes, interopérables, au service du bien commun, au code source libre et basées sur des standards. […] Nous avons choisi d’apporter nos valeurs là où les gens vivent.

Les services que nous sommes en train d’imaginer et sur lesquels nous travaillons dur afin de les lancer dans les semaines et mois à venir comprennent : une approche novatrice de l’identité, un système d’exploitation mobile basé sur le Web et un App Store. Pour offrir ces services, nous aurons besoin de stocker les données des utilisateurs sur les serveurs de Mozilla à une échelle beaucoup plus grande que ce que nous avons à ce jour. Cela nécessite beaucoup de soin et de réflexion. Nous avons commencé le processus pour arriver à comprendre comment faire cela et essayé quelques évaluations pilotes. Je tiens à vous dire ce que nous pensons et solliciter vos pensées et vos idées.

Notre approche actuelle - Firefox Sync

Mozilla stocke déjà des données cryptées avec Firefox Sync, ce qui permet à des millions d’utilisateurs de Firefox de conserver les signets, l’historique et les mots de passe synchronisés entre plusieurs installations de Firefox, y compris Firefox Mobile. Nous sécurisons ces données avec de la cryptographie plus avancée que celle-là même utilisée par les institutions financières. Généralement, les banques utilisent le chiffrement au niveau du transport (SSL) : vos données sont cryptées en transit entre votre navigateur et les serveurs de la banque. Une fois qu’elles arrivent aux serveurs de la banque, elles sont, bien sûr, décryptées. Par comparaison, Firefox Sync utilise le chiffrement au niveau de l’application : vos données sont cryptées par Firefox avant qu’elles ne soient envoyées sur le réseau et elles restent cryptées une fois qu’elles arrivent sur nos serveurs et sont stockées sur nos disques. Seul votre client Firefox peut déchiffrer les données. Mozilla n’a pas les clés de décryptage.

Cela signifie que nous ne voyons jamais vos données. Si nous subissons une brèche dans notre serveur ou si quelqu’un est sorti de nos centres de données avec quelques disques durs dans la main, alors vos données resteront à l’abri des regards indiscrets. Peu d’autres compagnies vont jusqu’à de telles extrémités pour sécuriser vos données.

Les nouveaux services que nous envisageons, lorsque cela sera possible, continueront à utiliser ce niveau de sécurité des données.

Limites du chiffrement au niveau de l’application

Si nous ne pouvons pas voir vos données, alors vous êtes incroyablement en sécurité, mais nous ne pouvons pas faire grand-chose pour vous aider non plus. Le chiffrement au niveau de l’application est comme le coffre-fort que vous gardez dans votre garde-robe : vous pouvez y placer des objets de valeur et vous pouvez les récupérer si vous êtes là en personne, mais vous ne pouvez pas facilement demander à un colocataire de rapidement vous dire au téléphone combien d’argent comptant vous avez stocké dans le coffre. Par comparaison, il est facile d’appeler un colocataire et de lui demander de vous lire un numéro de téléphone que vous avez laissé sur la table de la cuisine. Certaines données sont si précieuses que vous avez besoin de les garder dans un coffre-fort. D’autres données peuvent ne pas être aussi sensibles et pourraient être plus utiles si vous pouviez obtenir de l’aide pour les gérer, les récupérer et les traiter. Quelque chose d’aussi simple que de vous envoyer des rappels d’anniversaires d’amis nécessite que le service voit ces données lorsque vous êtes déconnecté.

J’ai écrit précédemment au sujet des limites du cryptage pour protéger les données. Le chiffrement n’est pas magique. Il n’est pas approprié pour toutes les applications. Si nous voulons offrir des services alternatifs réalistes qui donnent l’exemple de la souveraineté de l’utilisateur, alors il faudra stocker les données de l’utilisateur sur nos serveurs, souvent sans chiffrement au niveau de l’application.

Lignes directrices de conception

Nous proposons quelques grandes lignes de départ pour la conception :

• Un avantage clair pour l’utilisateur : l’utilisateur doit toujours avoir un intérêt clair et direct à ce qu’on stocke ses données. Le stockage agressif des données de l’utilisateur « juste au cas où ce serait nécessaire plus tard » n’est pas acceptable.
• Inventaire des données : nous devrions toujours savoir quelles sont les données que nous recueillons, où et comment elle sont stockées, et pourquoi le stockage de chaque point de données est crucial pour la fonction de l’utilisateur final. Nous devons nous assurer que les utilisateurs puissent facilement obtenir cet inventaire, le comprendre, le mettre à jour ou le supprimer.
• Minimiser les données visibles sur le serveur : si nous pouvons mettre en œuvre une fonction donnée en n’envoyant jamais de données au serveur ou en utilisant le chiffrement au niveau de l’application, alors nous le ferons.
• Minimiser la rétention des données : nous devons stocker les données aussi peu de temps que possible. En particulier, si nous avons besoin de serveurs uniquement pour fournir un point de transit pour les données, alors ces données devraient seulement transiter, et ne jamais être stockés.
• Agréger dès que possible : nous allons explorer si nous pouvons mettre en œuvre la fonctionnalité avec des données agrégées à travers un nombre important d’utilisateurs, plutôt que de garder des points de données individuels. (Étant donné la richesse de ces ensembles de données, nous ne pouvons pas prétendre que la « désidentification » est particulièrement utile pour protéger les utilisateurs individuels.)

Nous voulons passer au crible toutes les fonctionnalités que nous considérons en nous appuyant sur les processus existants que le projet Mozilla connaît déjà bien : Bugzilla. Les problèmes seront suivis dans Bugzilla, avec un problème de suivi de haut niveau que nous nous attendons à appeler « Sécurité des données ».

Les gens

Les personnes suivantes se sont réunis pour former une équipe de sécurité de données Mozilla pour développer ces idées et les amener dans nos offres de produits :

• Jay Sullivan, qui conduit à la définition de grands produits Mozilla qui incarnent nos valeurs,
• Sid Stamm, qui dirige l’ingénierie pour la vie privée dans Firefox et la plateforme Web,
• Jonathan Nightingale, qui dirige le groupe d’ingénierie de Firefox,
• Alex Fowler, qui dirige la vie privée et la politique et se concentre sur l’amélioration de la gestion des informations,
• Brendan Eich, qui a mené dès le premier jour la direction technique du projet Mozilla,
• Michael Coates, qui dirige la sécurité des infrastructures, supervisant les applications, serveurs & réseaux,
• Chris Beard, qui dirige nos programmes de marketing et d’engagement,
• David Ascher, qui mène la réflexion de Mozilla sur la façon dont les utilisateurs partagent et découvrent le Web,
• Ben Adida, c’est moi, je dirige le travail d’identité chez Mozilla.

Nous savons que nous aurons besoin d’agrandir cette équipe pour inclure les personnes avec des horizons plus variés, des gens de l’intérieur et en dehors du projet Mozilla, et des gens de partout dans le monde. Nous auront également besoin d’être conscient des diverses juridictions et coutumes locales dans la façon dont nous concevons et hébergeons nos services.

Au-delà de la conformité

La sécurité des données exige une  conformité méticuleuse à la réglementation et aux meilleures pratiques, mais nous nous efforçons de faire plus. Nous impliqueront nos architectes logicielles les plus expérimentées et les experts en sécurité afin de déterminer comment concevoir une meilleure confidentialité. Ces discussions et ces itérations, comme tous les avis existants de sécurité et de confidentialité, seront publiques par défaut, de sorte qu’ils puissent être vérifiés, tout comme notre code source (sauf si ces divulgations donnaient aux attaquants une longueur d’avance, bien sûr, auquel cas nous garderons l’information secrète temporairement). En outre, comme tous les projets Mozilla, nous allons impliquer nos utilisateurs dans le processus d’architecture pour une souveraineté des utilisateurs plus grande. Il est crucial que les utilisateurs comprennent les solutions que nous proposons, les avantages fournis par ces solutions et la façon dont leurs données sont utilisées pour retirer cet avantage.

S’en tenir à nos principes

La souveraineté de l’utilisateur nécessite un grand navigateur et un certain nombre de services centrés sur l’utilisateur. Nous aimerions construire certains de ces services et nous avons l’intention de le faire avec un dévouement aussi fort que jamais à nos principes de respect de la vie privée : pas de surprises, de véritables choix, des réglages judicieux, des données limitées et le contrôle de l’utilisateur. Nous n’allons pas vendre ou céder vos données. Nous vous expliquerons toujours quelles données nous stockons et pourquoi nous les stockons. Nous vous laisserons toujours partir et emporter vos données avec vous, et nous expliquerons toujours quel avantage vous obtenez de cette collecte de données.

Nous apprécions vos commentaires, dans les blogs, sur dev.planning ou sur Twitter avec le hashtag #mozdatasafety.

Le document original et cette traduction sont soumis aux conditions de la licence
Creative Commons : « Paternité – Partage des conditions initiales à l’identique 3.0 ».

Plus tôt cette semaine, nous révoqué notre confiance en l’autorité de certification DigiNotar de tous les logiciels Mozilla. Ce n’est pas une suspension temporaire, c’est une élimination complète de notre programme de racines de confiance. La révocation complète de la confiance est une décision que nous traitons avec une attention minutieuse et employons en dernier recours.

Trois problèmes principaux ont fondé notre décision :

1. Le défaut d’information. DigiNotar a détecté et révoqué certains des certificats frauduleux il y a 6 semaines sans en avertir Mozilla. Cela est particulièrement troublant puisque certains de ces certificats ont été délivrés pour notre propre domaine addons.mozilla.org.
2. L’étendue de la brèche demeure inconnue. Alors que nous avons été d’abord informé par Google qu’un certificat frauduleux *.google.com avait été délivré, DigiNotar a finalement confirmé que plus de 200 certificats avaient été délivrés contre plus de 20 domaines différents. Nous savons maintenant que les agresseurs ont également délivré des certificats depuis d’autres certificats intermédiaires de DigiNotar sans journalisation correcte. Il est donc impossible pour nous de savoir combien de certificats frauduleux existent ou les sites qui sont ciblés.
3. L’attaque n’est pas théorique. Nous avons reçu plusieurs rapports signalant que ces certificats étaient utilisés dans la nature.

Mozilla a une longue histoire de collaboration avec les autorités de certification pour aborder les défis techniques communs, ainsi que de réagir à et de contenir les brèches quand elles surviennent. Dans un incident survenu plus tôt cette année, nous avons travaillé avec Comodo à bloquer un ensemble de certificats mal délivrés qui avaient été détectés, contenus et signalés à nous immédiatement. Dans le cas DigiNotar, en revanche, nous n’avons aucune certitude que le problème ait été contenu. En outre, leur absence de notification nous laisse profondément préoccupé par notre capacité à protéger nos utilisateurs contre de futures brèches.

Les certificats Staat der Nederlanden

DigiNotar délivre des certificats dans le cadre du programme PKIoverheid (PKIgouvernement) du gouvernement néerlandais. Ces certificats sont délivrés par un autre intermédiaire contrôlé par DigiNotar et validés par l’autorité de certification du gouvernement néerlandais (Staat der Nederlanden). La Computer Emergency Response Team du gouvernement néerlandais (GovCERT) a indiqué que ces certificats sont délivrés indépendamment des autres processus de DigiNotar et que, d’après leur évaluation, ces derniers n’avaient pas été compromis. Le gouvernement néerlandais a donc demandé que nous exemptions ces certificats du retrait de la confiance, ce dont nous sommes convenus de faire dans notre mise à jour de sécurité initiale du début de cette semaine.

Le gouvernement néerlandais a depuis vérifié les performances de DigiNotar et a annulé cette évaluation. Nous avons maintenant supprimé l’exonération de ces certificats, ce qui signifie que tous les certificats de DigiNotar seront non fiables pour les produits Mozilla. Nous croyons que les autres éditeurs de navigateurs font des changements similaires. Nous travaillons également avec nos localisateurs néerlandais et le groupe Bits of Freedom aux Pays-Bas pour contacter les opérateurs de chaque site utilisant les certificats touchés (basée sur les données de l’observatoire SSL de l’EFF).

L’intégrité du système SSL ne peut pas être maintenu dans le secret. Des incidents comme celui-ci démontrent la nécessité d’une communication active, immédiate et globale entre les autorités de certification et les éditeurs de logiciels pour maintenir nos utilisateurs communs en sécurité en ligne.

Johnathan Nightingale
Directeur de l’ingénierie de Firefox

Après s’être demandé qui est dans la communauté Mozilla, David Boswell se demande aujourd’hui combien de personnes sont dans la communauté Mozilla.

Pour faire suite à mon billet où je reprenais une de ses infographies et un extrait du billet dans lequel je l’avais trouvée, je reprends aujourd’hui son second billet où l’auteur a revu son œuvre en tenant compte des retours suscités par son premier billet :

Combien de personnes sont dans la communauté Mozilla ?

Combien de personnes sont dans la communauté Mozilla ? La réponse courte est que nous ne savons pas.

Nous pouvons faire des suppositions éclairées (nous savons combien de personnes ont été invitées au Sommet de 2010, combien de personnes utilisent des compilations nocturnes, etc.) et les chiffres dont nous disposons sont représentés dans cette infographie de la communauté (merci à tous pour les commentaires sur la version antérieure).

crédit David Boswell

Il y a quelques problèmes avec l’obtention de plus de clarté ici. Le premier est qu’il existe de nombreuses façons de contribuer qui n’impliquent pas de travailler avec nos outils.

Par exemple, la communauté de localisation sait qui valide les modifications pour chaque locale, car ils ont des comptes SVN, donc nous pouvons parler directement avec eux. Mais il y a beaucoup de gens qui localisent le contenu et ensuite donnent ça à la personne pour leur locale qui enregistre les choses.

Nous avons beaucoup moins de visibilité avec cette partie de la communauté de localisation et ne pouvons pas parler directement avec eux (pour inviter tous les localisateurs au Sommet nous avions besoin des personnes ayant un « commit access » pour nous dire qui inviter).

Un autre problème est la manière fracturée dont nous traitons les comptes. Quelqu’un qui teste les compilations nocturnes, enregistre les problèmes dans Bugzilla et enregistre du code dans nos dépôts apparaît comme trois numéros lors de la recherche d’informations sur les systèmes.

Ne pas demander aux gens de maintenir de nombreux comptes à travers nos nombreux sites et outils rendrait probablement la vie des gens un peu moins compliquée, mais ça nous aiderait également à comprendre combien de personnes sont impliquées dans les différents domaines du projet.

crédit David Boswell

Le projet de répertoire communautaire devrait aider à cela. Les gens peuvent créer un profil qui montre ce à quoi ils participent dans le projet. Une fois que cela commencera à être utilisé largement, il y aura de nombreux avantages à avoir cette clarté supplémentaire.

Vous voulez trouver des Mozilliens à Auckland pour une rencontre ? Besoin d’un hacker expert en XPCOM pour examiner un patch ? Vous voulez faciliter à quelqu’un la possibilité de vous envoyer une chemise pour vous remercier de tout votre dur travail ?

Le plan actuel est d’avoir le répertoire prêt en août. Pour l’instant, vous pouvez vous inscrire pour recevoir un email lorsque le répertoire sera mis en ligne.