Le code de Firefox bientôt plus sécurisé et plus épuré

La semaine dernière, Window Snyder fut débauchée de Microsoft par Mozilla, le groupe qui développe le navigateur libre, récemment passsé à la version 1.5.0.7. Le principal objectif de cette opération pour Mozilla était d'améliorer la sécurité de ses logiciels, et notamment le panda rouge.

Fraichement arrivée, Windows S. ( ça ne s'invente pas ), elle a donc endossé le costume de " Chief Security Something ", et a désormais annoncé ses plans futurs en ce qui concerne la sécurité.

" Nous allons nous orienter vers une nouvelle initiative qui prend en compte l'impact des nouvelles fonctionnalités sur la sécurité. Nous voulons réduire le risque général de Firefox en analysant où sont les fonctions inutilisées et ensuite en mettant de côté le code obsolète. " a t-elle indiqué.

" Nous voulons que Firefox ait une base de code plus resserrée et moins de points d'entrée dans le système. (...) Si nous trouvons une 'parsing routine' qui fut écrite il y a des années pour gérer des formats de fichiers rarement utilisés de nos jours et pour laquelle la potentialité de vulnérabilité dépasse l'utilité de la fonctionnalité, alors nous pouvons nous débarrasser de ce code. " a indiqué Snyder.


Comment définir la sécurité d'un logiciel pour Window '
Cela ne signife pas pour autant que le navigateur open source sera régulièrement amputé de fonctions tombant en désuétude, mais cela voudra certainement dire que celles-ci seront disponibles comme option d'installation plutôt que de les laisser dans le code général de Firefox.

" Le simple comptage de bogues n'est pas une bonne mesure pour sécuriser une application " indique t-elle, se référant à certaines critiques pointant du doigt Internet Explorer, le rival propriétaire de Microsoft face à Firefox.

" Les gens devraient compter les jours pendant lesquels le logiciel est sous la menace d'une faille exploitée. Combien de temps l'utilisateur est-il vulnérable ' Quelle est la durée entre la publication du patch et le moment ou la mise à jour est installée ' " a demandé Snyder, apparemment bien décidée à faire bouger les choses.

En utilisant ces repères, les produits Mozilla gagnent haut la main, indique t-elle, taclant au passage son ex-entreprise : " Nous nous occupons des patches en l'espace de quelques jours, non en semaines ou en mois ". Microsoft est en effet régulièrement critiqué pour le long développement de ses correctifs et leurs processus de test; même si un exploit circule activement sur la toile, Microsoft peut mettre des semaines à proposer un patch.


Un développement axé autour de la sécurité
Snyder admet que Mozilla a un avantage certain lorsqu'il s'agit de fournir des patches plus rapidement que Microsoft : " La plupart de nos utilisateurs sont au domicile, et avec les mises à jour automatiques activées par défaut, nous pouvons avoir 90% des ordinateurs patchés en une semaine ". Pour Microsoft, la situation est différente; étant présent dans de nombreuses entreprises, ces dernières doivent d'abord tester les nouvelles versions des logiciels avant de les mettre à jour sur l'ensemble du parc informatique.

Mozilla va également implémenter d'autres fonctionnalités pour améliorer la sécurité de Firefox. " Nous avons déjà mis en place l'anti-phishing dans la version 2.0 " ajoute Snyder qui parle déjà de nouvelles approches de la sécurité, notamment grâce à une nouvelle gestion de la mémoire - un point souvent critiqué -, de la gestion de code et une sandbox qui rendrait plus hermétique le navigateur à d'éventuelles attaques.

" Mozilla répondra rapidement aux failles découvertes, corrigera tous les bogues ayant un impact sur la sécurité, et ensuite ajoutera des fonctions qui regarderont toujours du côté de la sécurité " a promis Snyder.