En ce moment

Chasseurs de bugs : 850 000 € de primes de l’Europe

Posté le 6 février 2019
par Philippe RICHARD
dans Informatique et Numérique

Depuis le début de cette année, la Commission européenne (CE) commence à verser des primes aux chercheurs en sécurité trouvant des vulnérabilités dans 15 projets open source. C’est la phase 2 du projet FOSSA.

Tous les jours, nous faisons appel à des logiciels open source sans le savoir. C’est le cas d’un serveur web Apache. Cas typique : un « client » (par exemple un navigateur web) se connecte à un serveur (par exemple un serveur HTTP Apache) avec un protocole spécifique, et effectue une requête pour une ressource en spécifiant son chemin.

Internet est l’infrastructure sur laquelle repose notre vie de tous les jours. Or, elle n’est pas à l’abri d’un bug niché dans une brique open source.

Prime en fonction de la sévérité d’une faille

Conscient de notre dépendance vis-à-vis de ces programmes, la Commission européenne a lancé en 2014 le projet d’audit des logiciels libres et open source (FOSSA – Free and Open Source Software Audit).

L’eurodéputée Julia Reda, à l’origine de projet FOSSA, explique que la « Commission européenne et les administrations publiques en général ont la responsabilité d’assurer la stabilité, la fiabilité et la sécurité d’internet – en y investissant. »

Supervisé par la Direction générale de l’informatique de la CE (DIGIT), FOSSA est un bug bounty. Qu’il soit organisé par la CE ou une entreprise privée, le principe reste le même : une prime est versée à un groupe ou à une personne découvrant une vulnérabilité dans un système ou un logiciel. Le montant de la prime dépend de la sévérité de la faille découverte et de l’importance relative du logiciel.  Ensuite, cette découverte est signalée aux développeurs en question.

Renforcer la sécurité

Deux projets (serveur web Apache et gestionnaire de mots de passe KeePass) ont fait l’objet d’un audit de sécurité. En décembre 2018, le projet FOSSA est entré dans sa phase 2. Une liste de 15 projets qui recevront une prime aux bogues a été présentée.

Pour Paul Farrington, un expert travaillant chez Veracode, une entreprise spécialisée dans la sécurité logicielle, FOSSA est une initiative intéressante. « Dans notre rapport 2018 sur l’état de la sécurité des logiciels, nous avons constaté que 87,5 % des applications Java contiennent au moins une bibliothèque open source avec des vulnérabilités. Certains des programmes en cours d’expérimentation dans l’UE s’appuient aujourd’hui sur des projets open source dont on sait qu’ils présentent des vulnérabilités. Il y a beaucoup à faire pour améliorer l’hygiène générale du développement logiciel en utilisant l’automatisation moderne de la numérisation. »


Pour aller plus loin