L’Union européenne récompense la détection de failles dans certains logiciels libres

Union-europeenne-detecter-failles-logiciels-libres 17 Jan

À compter de janvier 2019, la Commission européenne lance des bug bounties pour 14 projets libres sur les 15 utilisés par les institutions de l’Union européenne, dans le cadre du programme FOSSA (Free And Open Source Software Audit). Cette annonce a été faite le 27 décembre dernier par la parlementaire européenne Julia Reda sur son blog. Il est prévu de lancer 14 de ces campagnes en janvier, tandis que le 15e débutera en mars.

Les récompenses varient selon le projet

Différents logiciels Open Source ont été sélectionnés pour cette opération, dont certains largement connus et utilisés par le grand public. D’autres en revanche sont plutôt réservés aux développeurs expérimentés. Il s’agit notamment de 7-ZIP, Apache Kafka, Apache Tomcat, Digital Signature Services (DSS), Drupal, Filezilla, FLUX TL, GNU C Library (glibc), KeePass, midPoint, Notepad++, PHP Symphonie, PuTTY, VLC Media Player et WS02. Bien évidemment, la durée de la chasse aux bugs et le montant des récompenses dépendent du projet. Ainsi, on apprend que pour Filezilla par exemple, la révision se déroulera sur un peu plus de 7 mois et recevra un budget estimé à 58 000 euros, destiné à récompenser ceux qui dénonceront des défaillances dans ce logiciel. Drupal quant à lui, disposera d’un délai de plus de 21 mois et d’un budget de 81 000 euros. Notons qu’avec 34 000 euros, FLUX TL bénéficie du plus faible montant, tandis que PuTTY est le plus intéressant pour les chasseurs de bugs avec 90 000 euros.

Les fonds alloués à la chasse aux défaillances restent plutôt modestes à l’échelle de l’Union européenne. Néanmoins la présence dans le vieux continent de ses programmes révèle une certaine prise de conscience quant à l’importance de ces logiciels.

Des hackatons pour une collaboration étroites entre les développeurs

La découverte en 2014 de défaillances dans des projets Open Source de grande envergure, comme Heartbleed notamment, est à l’origine du programme FOSSA. « Beaucoup de gens ont alors pris conscience de l’importance des logiciels libres et open source pour l’intégrité et la fiabilité d’Internet et d’autres infrastructures. Comme bien d’autres organisations, des institutions comme le Parlement européen, le Conseil et la Commission s’appuient sur des logiciels libres pour leurs sites web et beaucoup d’autres choses. Mais Internet n’est pas seulement crucial pour notre économie et notre administration. Nos vies quotidiennes reposent sur son infrastructure», martèle Julia Reda.

Doté d’un budget initial de 1 million d’euros, le projet FOSSA a d’abord fait l’inventaire des logiciels libres et des éléments sur lesquels les institutions européennes s’appuient pour leur informatique entre 2015 et 2016. De plus, il a analysé la gestion sécuritaire des systèmes par les développeurs des projets de la Commission et du Parlement ainsi qu’un audit de sécurité Apache et KeePass. Julia Reda explique que ce projet a été prolongé de trois ans en 2017 et qu’il a été décidé de mettre en place un système de rétribution pour la détection des failles dans les grands systèmes Open Source. Aussi, des hackathons ont été programmé pour les développeurs d’institution européenne et de logiciels libres, afin de les inciter à travailler en plus étroite collaboration.

Passionné par l’Open Source ? Découvrez les formations d’excellence de l’Open Source School !