En janvier 2019, l’Union européenne ouvre la chasse aux failles dans les logiciels libres

Posté par . Édité par Pierre Jarillon et Davy Defaud. Modéré par patrick_g. Licence CC by-sa.
42
24
jan.
2019
Sécurité

EU-FOSSA,ou European Union Free and Open Source Software Auditing, est un projet initié par les eurodéputés Max Anderson et Julia Reda — après la découverte de la faille de sécurité Heartbleed et porté par la Commission européenne depuis 2015. En 2017, le projet a été reconduit pour trois ans sous le nom de EU-FOSSA 2 et, après un premier Bug Bounty en novembre 2017, une prime pour la détection de failles de sécurité pour le lecteur média libre VLC, la Commission a annoncé en janvier 2019 quinze nouvelles primes pour des logiciels libres utilisés par les institutions européennes.

Julia Reda explique fort bien les fondements et les buts de cette action européenne…

L’eurodéputée Julia Reda rappelle sur son site, en anglais, l’enjeu et l’historique de ce projet :

« Le problème a fait que de nombreuses personnes ont pris conscience de l’importance des logiciels libres dans l’intégrité et la fiabilité d’Internet et d’autres infrastructures. Comme beaucoup d’autres organisations, des institutions comme le Parlement européen, le Conseil ou la Commission se basent sur des logiciels libres pour faire tourner leur site Web et bien d’autres choses. Mais l’Internet n’est pas seulement crucial pour notre économie et notre administration. C’est l’infrastructure sur laquelle repose notre vie de tous les jours. C’est le moyen par lequel nous récupérons de l’information et par lequel nous sommes politiquement actifs. »

Elle liste également les projets libres concernés, les plates‐formes de signalement, la période de « chasse à la prime » et le montant des récompenses disponibles. Certaines primes sont ouvertes jusqu’à la fin juillet 2019, pour Keepass par exemple, ou d’autres, comme Drupal, le sont jusqu’à octobre 2020.

 « Un “Bug bounty” est une prime pour les personnes qui recherchent activement des failles de sécurité. Le montant de la prime dépend de la sévérité de la faille découverte et de l’importance relative du logiciel. […] Vous pouvez contribuer aux projets ci‐dessous [voir la liste] en analysant les logiciels et en soumettant les bogues ou vulnérabilités que vous trouvez dans les plates‐formes concernées. »

Initiative à saluer par laquelle une personne publique agit pleinement dans sa mission de service public en participant, ici par le biais de primes, à la sécurité informatique de logiciels qui ont un rôle déterminant dans l’infrastructure globale d’Internet, et qui sont librement utilisables et réutilisables par toutes et tous. Un projet qui gagnerait, comme le recommande l’eurodéputée à être pérennisé dans le budget de l’Union européenne.

Aller plus loin

  • # Bien mais

    Posté par . Évalué à 3 (+2/-0). Dernière modification le 25/01/19 à 13:21.

    ils auraient pu passer par une plateforme européenne plus tôt que d'envoyer de l'argent publique chez des étrangers (hackerone = usa).

    C'est dommage aussi de n'y voir aucune solution de cloud (ni nextcloud, ni cozy), malgré l'importance que prend ce secteur en europe.

    🇪🇺 Donation : 1N8QGrhJGWdZNQNSspm3rSGjtXaXv9Ngat (Bitcoin | Bitcoin Cash)

  • # Nota Bene

    Posté par . Évalué à 1 (+1/-0). Dernière modification le 28/01/19 à 15:41.

    Bonjour,

    Superbe initiative de l'EU, cependant il y a un oubli : une troisième plateforme et notamment française a remporté l'appel d'offre FOSSA2.

    Il s'agit d'un consortium YesWeHack+DigitalSecurity (belle union de références :)

    http://www.globalsecuritymag.fr/Commission-Europeenne-Digital,20190110,83438.html

    Gageons que la Commission saura adresser ce marché en priorité aux entreprises européennes et pour le coup soumises aux lois européennes en matière de divulgation de failles informatiques. Car aux US ce sont bien les agences fédérales qui ont tous les droits y compris d'avoir connaissance des failles trouvés et rapportées sur les plateformes de bug bounty US que ces dernières soient d'accord ou pas :|

    In bugs we trust !

Envoyer un commentaire

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.