L’union Européenne (UE) est en train de déployer un système de « bug bounty » sur certains des logiciels libres, gratuits et en open source les plus répandus, dans le but de rendre Internet plus sécurisé.
Une somme de 851 000 € (soit près d'un million de dollars américains) est mise en jeu pour récompenser l'identification de failles de sécurité au sein de 15 logiciels couramment utilisés (une liste complète est présentée ci-dessous). Une partie de ce programme de bug bounty démarre aujourd'hui, tandis que le reste devrait être activé un peu plus tard ce mois-ci.
Ce dispositif a été annoncé par Julia Reda, membre du Parlement Européen qui, avec son collègue Max Andersson, a dirigé le projet FOSSA (Free and Open Source Software Audit) depuis 2014.
Le programme à l’initiative de Reda et Andersson est arrivé en réponse à la découverte de Heartbleed, une vulnérabilité logicielle présente dans la bibliothèque de cryptographie open source OpenSSL, laquelle a secoué toute la communauté IT en 2014.
« Cette menace a permis de faire comprendre à beaucoup de gens à quel point les logiciels libres et open source sont importants pour l'intégrité et la fiabilité d'Internet et d'autres infrastructures. Comme beaucoup d'autres organisations, des institutions comme le Parlement Européen, le Conseil et la Commission s'appuient sur le système de logiciel libre pour gérer leurs sites Web et bien d'autres choses », écrit Reda.
| Software project | Bug bounty (EURO) | Start date (DD/MM/YYYY) | End date (DD/MM/YYYY) | Bug bounty platform |
|---|---|---|---|---|
| Filezilla | 58,000 | 7/1/2019 | 15/08/2019 | HackerOne |
| Apache Kafka | 58,000 | 7/1/2019 | 15/08/2019 | HackerOne |
| Notepad++ | 71,000 | 7/1/2019 | 15/08/2019 | HackerOne |
| PuTTY | 90,000 | 7/1/2019 | 15/12/2019 | HackerOne |
| VLC Media Player |
58,000 | 7/1/2019 | 15/08/2019 | HackerOne |
| FLUX TL | 34,000 | 15/01/2019 | 15/10/2019 | Intigriti/Deloitte |
| KeePass | 71,000 | 15/01/2019 | 31/07/2019 | Intigriti/Deloitte |
| 7-zip | 58,000 | 30/01/2019 | 15/04/2020 | Intigriti/Deloitte |
| Digital Signature Services (DSS) | 25,000 | 30/01/2019 | 15/10/2019 | Intigriti/Deloitte |
| Drupal | 89,000 | 30/01/2019 | 15/10/2020 | Intigriti/Deloitte |
| GNU C Library (glibc) | 45,000 | 30/01/2019 | 15/12/2019 | Intigriti/Deloitte |
| PHP Symfony | 39,000 | 30/01/2019 | 15/10/2019 | Intigriti/Deloitte |
| Apache Tomcat | 39,000 | 30/01/2019 | 15/10/2019 | Intigriti/Deloitte |
| WSO2 | 58,000 | 30/01/2019 | 15/04/2020 | Intigriti/Deloitte |
| midPoint | 58,000 | 1/3/2019 | 15/08/2019 | HackerOne |
Tableau des « primes aux bugs » en UE en un coup d’oeil (source : juliareda.eu)
« Les primes seront déterminées en fonction de la gravité de la faille découverte et selon l’importance du logiciel impliqué » continue Reda. Le système sera ouvert pendant la plus grande partie de cette année et, pour certains cas, jusqu’en 2020, ce qui laisse suffisamment de temps pour se pencher sur le code et éliminer les failles potentielles. Contrairement à de nombreux autres programmes de « primes aux bugs » qui sont accessibles seulement par invitation (par exemple, le programme lancé par HP), cette initiative est quant à elle ouverte à tous.
Les outils qui devraient faire l’objet d’un contrôle assez poussé ont été déterminés par un filtrage des logiciels en open source utilisés par la Commission européenne, associé à une analyse de la manière dont les développeurs respectifs s’attaquent à la sécurité et à un vote public - lesquels étaient tous dans le cadre du projet pilote de FOSSA en 2015 et 2016.
L’examen a révélé que les logiciels open source représentaient 18 % des logiciels et 16 % pour des instances de logiciels utilisées par la branche exécutive de l’UE.
Pendant ce temps, le public a sélectionné le gestionnaire de mots de passe KeePass et le serveur Web Apache pour un audit de sécurité. Les examens de code qui ont suivi, conduits par des ingénieurs recrutés par la Commission, n’ont révélé aucune faille de sécurité critique dans ces logiciels : KeePass contenait 5 menaces de risque moyen et trois très faibles, quant à Apache, ce sont deux vulnérabilités à faible risque qui ont été décelées.
Dans le cadre de la deuxième étape du projet FOSSA en 2017, la Commission a annoncé une démonstration de faisabilité (Proof of Concept) de bug bounty sur VLC Media Player, le logiciel sera ainsi installé sur chaque poste de travail de la Commission.
