Dès janvier 2019, l’Union européenne, soucieuse de promouvoir les logiciels libres, lancera un programme « Bugs Bounty » en collaboration avec des plates-formes spécialisées HackerOne et Intigriti/Deloitte. Concrètement, une personne trouvant une faille de sécurité sera rémunérée jusqu’à 90 000 € en fonction du projet et de son importance.
Parmi les quinze logiciels qui seront passés au peigne fin par les hackers, on trouve entre autres 7-Zip, VLC, Notepad++, KeePass, GNU C, Drupal, Filezilla, le framework PHP Symfony ou encore Apache Kafka. Pourquoi ces projets et pas d'autres ? Tout simplement parce qu’ils sont utilisés par les différentes institutions européennes.
À l’exception de midPoint, tous ces programmes débuteront courant janvier. Leur durée est variable, elle est par exemple de sept mois pour VLC et de plus de 18 mois pour Drupal. Comme le souligne la députée européenne allemande Julia Reda, cette initiative fait suite à la découverte de plusieurs failles de sécurité d’envergure en 2014, notamment dans OpenSSL qui avait semé une belle pagaille à l’époque (lire : Heartbleed : attention à cette méchante faille OpenSSL).
Cela a engendré une véritable prise de conscience sur l’importance des logiciels libres et sur le fait que c’est dans l’intérêt de tout le monde qu’ils soient les plus fiables possible. Il s’agit là d’un enjeu clé pour les institutions comme le parlement européen, pour l’économie, mais sans doute encore plus pour les citoyens.
C’est pour cela que l’ancienne présidente des jeunes pirates européens a lancé en 2015 le projet FOSSA. Doté d’un budget initial d’un million d’euros, il a permis d’identifier les projets open source les plus utilisés par l’Europe et d’analyser la gestion de la sécurité. Cela a débouché sur l’audit de deux projets à savoir le serveur web Apache et le gestionnaire de mot de passe KeePass.
En 2017, il a été décidé d’étendre ce projet pour trois années supplémentaires et de lui donner plus de moyens. L’un des objectifs de FOSSA 2 est donc d’organiser des programmes « chasse aux bugs » de manière à renforcer la sécurité des logiciels libres les plus importants. Toujours dans la volonté de se rapprocher des développeurs, des hackatons seront également organisés ces prochains mois.
