Depuis début 2015, l'union européenne finance un petit "programme pilote" nommé FOSSA, proposé par les eurodéputés Julia Reda (pirate) et Max Andersson (verts), destiné à améliorer la solution des logiciels libres, en particulier (mais pas uniquement) ceux utilisés par les institutions de l'union européenne.
En juin 2016, ce projet avait fait appel aux opinions du public pour choisir un petit nombre de projets logiciels pour lesquels financer un audit du code source (voir le précédent journal LinuxFR à ce sujet). Les résultats des votes sont disponibles ici. Des audits ont été financés pour les deux gagnants, le gestionnaire de mot de passe KeePass et le serveur web Apache.
Depuis début décembre 2017, l'union européenne finance une "chasse aux problèmes de sécurité" pour le troisième logiciel le plus demandé dans ces votes, le lecteur multimédia VLC. L'information complète est décrite (en anglais) sur le site web HackerOne. Un périmètre de recherche est défini, et les bugs validés par l'équipe de développement donneront lieu à des récompenses financières, de $250 pour des bugs signalés sans technique d'exploitation à $5000 pour des bugs exploitables comme des failles de sécurité critiques.
J'ai appris l'existence de cette nouvelle initiative sur le blog de Julia Reda, EU offers cash bounties to improve the security of VLC media player, 12 décembre 2017.
Je pense que c'est une bonne initiative ; je ne sais pas si les chasses aux bugs payantes sont une façon plus ou moins efficace d'aider un logiciel qu'un audit de sécurité (relativement à leurs coûts, etc.), mais je trouve intéressant la démarche de ces eurodéputés d'essayer des choses différentes et de voir ce qui marche, pour ensuite proposer ce qui aura réussi dans une demande de financement pérenne.
# Bonne iniatiative
Posté par Nibel . Évalué à 10. Dernière modification le 03 janvier 2018 à 13:20.
Les programmes de Bug Bounty ont toujours très bien fonctionné chez ceux qui l'ont mis en place et que je connais.
L'avantage, contrairement à un audit, c'est que n'importe qui peut se prêter au "jeu". Il y a des "bug hunters" qui ne vivent que de ça qui sont extrêmement compétants, comme il y a des chasseurs plus occasionnels qui essayent d'arrondir leur fin de mois, d'autres encore sont là simplement pour le défi… Et parfois même, certains sont employés de l'entreprise qui a mis en place le bug bounty et en profitent pour mettre en avant leurs compétences sous la motivation de la récompense.
Ces profils différents apportent des compétences différentes et donc une chasse aux bugs plus large.
La seule difficulté est de rendre la récompense suffisament attrayante pour que les chasseurs participent.
Mais en tout cas, c'est un super nouvelle que l'UE finance un programme de bug bounty sur des logiciels libres.
La majeure partie des morts l'était déjà de son vivant et le jour venu, ils n'ont pas senti la différence.
# "C'est peut être un détail pour vous mais pour vlc ça veut dire beaucoup" ♫
Posté par fcartegnie . Évalué à 8. Dernière modification le 03 janvier 2018 à 18:27.
On rappellera juste au passage que VLC est le logiciel Français et le logiciel multimédia le plus utilisé au monde, et, que VideoLAN a incontestablement moins de moyens financiers et humains que d'autres projets. (Mozilla c'est riche/gros comment ?)
Si l'U.E. investit un minimum dans la sécurité des logiciels libres c'est bon signe, c'est qu'ils prennent en compte aussi la menace pour les logiciels de premier plan que certains sont tentés d'exploiter…
[^] # Re: "C'est peut être un détail pour vous mais pour vlc ça veut dire beaucoup" ♫
Posté par djano . Évalué à 2.
La MoCo, c'est des revenus qui se comptent en centaines de millions de dollars. On s'approche petit à petit des 500 millions de dollars par an si je me rappelle bien.
# Petite polémique
Posté par cosmocat . Évalué à 10.
A noter que suite à l'ouverture de ce bug bounty, une petite polémique (en tout cas des regrets exprimés) sur le fait que le bug bounty a été ouvert sur une plate-forme américaine alors que de telles plate-formes existent en Europe.
[^] # Re: Petite polémique
Posté par pamputt . Évalué à 10.
NextInpact a publié un article sur le sujet début décembre.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.