Michael Coates, directeur de l’assurance sécurité de Mozilla, rappelle sur le blog sécurité de Mozilla l’engagement viscéral de Mozilla pour la sécurité :

Octobre est le mois de la sensibilisation à la cybersécurité (National Cyber Security Awareness Month) et nous voulons profiter de l’occasion pour réitérer l’engagement sécuritaire de Mozilla pour le Web. De Firefox pour Windows, Mac, Linux et Android pour Firefox OS à Firefox Marketplace, Persona et plus – Mozilla s’engage à fournir des applications et services sécurisés qui protègent les données de nos utilisateurs et respectent leur vie privée. C’est plus qu’un simple engagement : c’est même dans notre manifeste.

La sécurité des personnes sur Internet est fondamentale et ne peut pas être considérée comme optionnelle. https://www.mozilla.org/about/manifesto.fr.html

Ouvert et transparent

Dans l’esprit de Mozilla et dans notre engagement à être ouverts, nous signalons tous nos problèmes de sécurité au public. Nous ne montrons pas seulement les bogues quand quelqu’un d’autre discute publiquement un problème ou quand ça nous arrange : nous sommes ouverts et transparents pour le principe.

Quand un problème de sécurité est présent et touche nos utilisateurs, nous allons dire au monde ce que nous savons, ce que cela signifie pour nos utilisateurs et ce que nous faisons pour régler le problème. Notre engagement est de fournir ces informations à nos utilisateurs dès que nous sommes au courant et de résoudre le problème aussi rapidement et de manière aussi responsable que possible.

Cycle de développement de logiciels sûr

Jetons un coup d’œil à la variété des mécanismes que nous avons inclus dans notre cycle de développement de logiciels sûr.

  • Modélisation de menaces (Threat Modeling) – Lors de la conception nous réunissons des experts en sécurité, des développeurs et des architectes pour évaluer les risques potentiels d’un design et pour s’assurer que les contrôles de sécurité appropriés sont présents à la conception du nouveau système ou de la nouvelle fonction.
  • Fuzzing (ou test à données aléatoires) – Des scripts et des outils automatisés envoient diverses données mal formées dans nos applications afin de s’assurer que nos produits traitent correctement toutes sortes de scénarios inattendus qui pourraient autrement conduire à des vulnérabilités.
  • Examen de sécurité du code – Nos experts en sécurité et nos développeurs examinent manuellement le code critique pour identifier le bon usage des contrôles de sécurité et trouver de façon proactive des failles potentielles.
  • Tests de pénétration – Nous effectuons les mêmes actions qu’un véritable attaquant effectueraient contre nos applications et nous nous assurons que toutes les défenses de sécurité fonctionnent correctement.
  • Le programme de récompense (Bounty) pour les bogues – Mozilla a commencé le premier programme pour navigateur de récompense pour les bogues en 2004 et l’a élargi pour inclure les applications Web critiques en 2010. Ce programme s’appuie sur notre grande communauté de sécurité et est une autre manière dont nous découvrons de façon proactive les problèmes de sécurité et nous fournissons les correctifs longtemps avant que les utilisateurs ne soient en danger.

Les résultats ?

Notre cycle de développement de logiciels sûr nous permet d’endurcir de façon proactive nos applications et de régler les problèmes de sécurité potentiels. En fait, depuis 2010, nous avons seulement eu trois zero-days de sécurité publics (vulnérabilités de sécurité potentiellement exploitables dans la version actuelle) au sein de notre code de Firefox qui nous ont amené à publier rapidement un correctif de sécurité. Lorsque ces situations surviennent, nous fournissons des correctifs à nos utilisateurs à une moyenne de moins de 48 heures.

Une expérience Mozilla sécurisée

Mozilla s’engage pour la sécurité de nos utilisateurs. Nous utilisons diverses stratégies pour développer et maintenir en sécurité nos logiciels. Lorsque des problèmes inattendus surgissent, nous sommes ouverts et honnêtes à propos de ce qui s’est passé et de ce que nous faisons pour rectifier le tir. Nous espérons que ces engagements et nos états de service témoignent de l’importance et de la priorité que nous accordons à la protection des données utilisateur et du Web.


Michael Coates
Directeur de l’assurance sécurité

Le document original et cette traduction sont soumis aux conditions de la licence
Creative Commons : « Paternité – Partage des conditions initiales à l’identique 3.0 »
ou toute version postérieure.

License Creative Commons

Source

Mozilla Security Blog, Mozilla’s Commitment To Security, 31 oct. 2012, Michael Coates