003.Interview : François Marier, Mozilla.

Bonjour François

Une petite présentation pour les lecteurs qui ne te connaitraient pas ?

Je suis québécois et je vis actuellement en Nouvelle-Zélande. Ça fait plusieurs années que je m’intéresse et contribue aux logiciels libres. C’est un monde si accueillant et enrichissant que je risque de m’y impliquer pour encore quelques années :) Mon travail m’amène à améliorer la sécurité et la protection de la vie privée dans Firefox. Je suis également bénévole pour Debian (Développeur Debian) et la Free Software Foundation (équipe de licensing).

Très récemment, Mozilla a annoncé [1] qu’il ne développerait plus de fonctionnalités pour les sites utilisant le protocole HTTP mais uniquement pour ceux accessibles via HTTPS. Pourrais tu nous donner un éclairage sur cette question qui pourrait plonger pas mal de webmestres dans l’incompréhension ?

Notre intention est de développer un plan avec notre communauté pour accélérer le passage vers HTTPS. Malgré les révélations de Snowden, il y a toujours beaucoup trop de contenu à la portée des services d’espionage publics et privés. Il faut faire mieux. Il est important de mentionner qu’il nous reste encore à définir quels seront les critères pour décider des types de nouvelles fonctionnalités qui vont être régis par cette politique. Le groupe WebAppSec du W3C travaille actuellement sur un document [4] qui promet de nous donner quelques bonnes pistes. Le choix des fonctionnalités visera à protéger la vie privée des utilisateurs (dans le cas des fonctionnalités comme la géolocalisation qui révèle des informations personnelles) et aussi à inciter les sites à migrer vers HTTPS s’ils veulent profiter de certaines fonctionnalités. Nous travaillons également à simplifier la configuration et la gestion des certificats pour les webmestres [2] et nous explorons des mécanismes [5] pour faciliter les migrations de HTTP vers HTTPS. C’est le début d’un processus qui va prendre quelques temps.

La situation des autorités d’enregistrements de certificats (CA) n’est pas idéale en termes de Sécurité : beaucoup d’incidents majeurs ou sérieux ont été rencontrés par un nombre conséquent d’acteurs majeurs. Cependant, Mozilla parie sur ce modèle pour améliorer la confidentialité et l’intégrité des sites webs. L’une de ses initiatives est la création d’une CA nommée "Let’s Encrypt" [2]. Pourrais-tu nous donner un état d’avancement de cette initiative ?

Je ne suis impliqué dans Let’s Encrypt que du côté du packaging Debian donc je n’ai pas une très grande visibilité sur le reste du projet. Je peux tout de même dire que les clients Apache et nginx progressent bien. Ceux qui sont curieux peuvent suivre le projet sur Github [6].

D’autres préfèrent tabler sur le "pinning" [3], Firefox suit-il également cette alternative ?

L’infrastructure est déjà en place [7] et on l’utilise avec une liste pré-configurée. Pour l’instant, nous ne supportons pas le pinning avec l’entête HTTP mais nous comptons le faire d’ici peu.

Tu travailles au sein de l’équipe de développement de Firefox. Peux tu nous parler, parmi les sujets sur lesquels tu travailles actuellement, de ceux qui te tiennent particulièrement à coeur ?

Je travaille actuellement sur deux choses qui me tiennent particulièrement à coeur. La première est une fonctionnalité pour combattre le tracking [8]. C’est très simple à activer [9] et a des effets plutôt intéressants sur la performance de Firefox [10].

La seconde est une fonctionnalité [11] ciblant les développeurs web. Elle permet d’assurer que les ressources hébergées sur un serveur tiers ne changeront pas. C’est une réponse à la pratique très commune de charger jQuery directement de code.jquery.com. Avec cette fonctionnalité, si un attaquant ajoute son propre code sur code.jquery.com, ce dernier ne sera pas exécuté puisque le hash sera différent de celui spécifié par le développeur.

La fondation Mozilla a 12 ans d’existence et est devenue une structure internationale de plusieurs centaines (milliers ?) d’employés avec beaucoup de projets en cours. Avec une telle croissance, comment Mozilla s’organise-t-elle pour rester agile ?

Évidemment, en dépassant les mille employés, la boîte s’est dotée d’un peu plus de patrons :) Cependant la structure de gouvernance [12] est toujours basée sur la structure du projet libre. Chaque module a un owner et plusieurs peers et les équipes sont généralement organisées autour d’un groupe de modules. Les développeurs restent mobiles et collaborent par le biais de newgroups et bugzilla. De plus, à chaque lundi, il y a un projet meeting ouvert à tous [13].

Quels sont, selon toi, à l’heure de la mobilité, du cloud computing et de l’explosion de l’exploitation des données personnelles (santé, IoT etc), les grands défis pour Mozilla mais aussi pour le monde du Logiciel Libre ?

Je suis personnellement terrifié de l’Internet of Things. Après tout, pour vendre une appliance il suffit de prendre le logiciel qu’on vend et puis de l’installer sur un vieux Linux d’il y a 5 ans (sans aucune mise-à-jour de sécurité évidemment). La seule chose qui pourrait être pire serait de connecter tout plein de senseurs et d’électro-ménagers au tout. Bienvenue dans le futur :(

Selon moi le défi principal sera d’amener de bonnes pratiques sécurité chez les développeurs embarqués qui ont malheureusement l’habitude de travailler sur des logiciels jetables. Si on veut éviter de donner mauvaise réputation aux logiciels libres, il faudra développer l’infrastructure qui pourra s’occuper des mises-à-jour à la place des fournisseurs propriétaires. En d’autre termes, ce qu’on a besoin c’est un Debian pour ces nouvelles façons de livrer des logiciels :)

Tu es développeur Debian depuis plus 10 ans, tu es né au Québec, tu vis en Nouvelle Zélande et tu travailles pour un géant de l’Internet. Au regard de ces expériences, as-tu pu constater que les Logiciels Libres font partie intégrante de la vie des étudiants en informatique de par le monde, ou les situations sont très contrastées ? Est-ce que la bataille pour des Logiciels Libre dans l’apprentissage de l’informatique te semble être un combat gagné ou pas du tout ?

Malgré le fait que tous les étudiants que je rencontre savent ce qu’est le logiciel libre, très peu y contribuent. Il se peut que ce soit un peu intimidant pour ceux qui débutent dans notre milieu, après tout le niveau de compétence technique dans les grands projets libres a de quoi faire rougir les grandes boîtes. C’est tout de même dommage que tant d’étudiants ratent la chance de s’impliquer dans un univers qui pourrait leur apporter autant que leur 3 ou 4 années d’université. Je crois donc que les libristes ont encore beaucoup de travail à faire pour assurer la relève :)

Merci beaucoup pour cet entretien François. Venez nombreux mardi 7 Juillet 2015 à 10:00 pour la conférence de François :-)

Tout le plaisir est pour moi.

[1] https://blog.mozilla.org/security/2015/04/30/deprecating-non-secure-http/
[2] https://letsencrypt.org/
[3] https://tools.ietf.org/html/rfc7469
[4] https://w3c.github.io/webappsec/specs/powerfulfeatures/
[5] https://w3c.github.io/webappsec/specs/upgrade/
[6] https://github.com/letsencrypt/lets-encrypt-preview
[7] http://monica-at-mozilla.blogspot.co.nz/2014/08/firefox-32-supports-public-key-pinning.html
[8] http://monica-at-mozilla.blogspot.co.nz/2015/03/two-short-stories-about-tracking.html
[9] http://monica-at-mozilla.blogspot.co.nz/2015/03/how-do-i-turn-on-tracking-protection.html
[10] http://ieee-security.org/TC/SPW2015/W2SP/papers/W2SP_2015_submission_32.pdf
[11] http://www.w3.org/TR/SRI/
[12] https://wiki.mozilla.org/Modules
[13] https://air.mozilla.org/channels/project-meeting/
[14] http://www.certificate-transparency.org/