La Commission européenne émet un bug bounty pour open source
Sous l’impulsion le de deux eurodéputés et après un premier test réussi, la Commission européenne veut se préparer plus efficacement face aux incertaines failles de sécurité de quinze logiciels open source utilisés par les institutions continentales. La méthode : un système de primes dévolues à celles et ceux qui débusqueront les bugs.
Quinze logiciels, des dizaines de failles éventuelles à débusquer et des primes parfois conséquentes à la clé. Voilà le programme du bug bounty, en cours de lancement par la Commission européenne depuis le début du mois de janvier. Ce projet s’inscrit dans la continuité du EU-FOSSA, ou European Union Free and Open Source Software Auditing, lancé en 2015 après la découverte de plusieurs failles de sécurité dans des projets open source, et notamment dans la bibliothèque de cryptographie OpenSSL. Baptisée « Heartbleed », cette fragilité avait mis en lumière les limites défensives des logiciels libres, souvent mal sécurisés par manque de moyens financiers, humains ou logistiques de leurs développeurs.
Après ces événements, les eurodéputés Julia Reda (Parti pirate allemand) et Max Andersson (Parti de l’environnement suédois) se sont investis dans ce FOSSA, un projet d’audit des logiciels libres et open source. Comme le raconte la première sur son blog, il a d’abord fallu faire l’inventaire de tous les logiciels concernés utilisés par les institutions européennes. En 2017, un premier logiciel, le lecteur VLC, avait alors fait l’objet d’une chasse aux failles de sécurité appointée.
Jusqu’à 25 000 € de prime
C’est donc ce système qui a été mené pour poursuivre la sécurisation de ces outils, utilisés non seulement par les institutions mais également – pour certains – par beaucoup d’entreprises et de particuliers. VLC, Drupal, Notepad++, 7zip, Filezilla et dix autres logiciels sont donc sur la liste des programmes ouverts à l’utilisation, via les plateformes HackerOne et Intigriti/Deloitte.
Les primes commencent à quelques centaines d’euros pour un bug mineur et grimpent jusqu’à plusieurs dizaines de milliers pour une faille critique. Les durées de recherche ne sont pas non plus les mêmes selon le logiciel, les plus courtes s’arrêtant à juillet 2019 et les plus longues, à octobre 2020. « L’objectif du projet FOSSA est de faire de la sécurité des logiciels libres un élément persistant du budget de l’Union européenne », souligne Julia Reda sur son blog.