Dans sa volonté de défendre les logiciels open source et la sécurité sur Internet, la Commission Européenne, via le programme FOSSA, vient de lancer une chasse aux bugs. Elle concerne les quinze logiciels libres les plus utilisés par les institutions européennes.
L’Union Européenne a mis sur place en 2014 le projet Free and Open Source Software Audit (FOSSA), menée par la députée européenne Julia Reda. Son but est de s’assurer de la sécurité et de la stabilité des logiciels libres et open source sur lesquels s’appuient les institutions européennes.
La sécurité des logiciels libres, un enjeu crucial pour l’Union Européenne
Le but est de s’assurer que ces logiciels, que l’Union défend et promeut avec force, ne présentent pas de failles de sécurité. Un enjeu de taille pour l’eurodéputée : « Internet n’est pas seulement crucial pour notre économie et notre administration. Nos vies quotidiennes reposent sur son infrastructure. C’est par ce moyen que nous retrouvons des informations et agissons politiquement » expose Julia Reda.
Après un inventaire des logiciels et composants open source, menée en 2015-2016, le projet FOSSA a été reconduit, en 2017, pour trois années supplémentaires. Dans ce cadre, une chasse aux bugs (« bug bounty ») vient d’être lancée sur les quinze logiciels libres utilisés par les institutions européennes. Les développeurs du monde entier se verront récompensés s’ils identifient des failles sur ces logiciels.
La chasse est ouverte : des rewards entre 25 000 et 90 000 euros !
Les 15 logiciels sont : 7-zip, Apache Kafka, Apache Tomcat, Digital Signature Services (DSS), Drupal, Filezilla, FLUX TL, la bibliothèque standard GNU C Library (glibc), KeePass, midPoint, Notepad++, PuTTY, Symfony PHP, VLC Media Player et WSO2.
Les primes varient de 25 000 à 90 000 euros. La chasse est ouverte au 1er janvier pour 14 d’entre eux ; pour midPoint, elle commencera au 1er mars. Elle s’achèvera entre juillet et décembre 2019 pour 12 logiciels, et en 2020 pour 7-zip, WSO2 et Drupal.
Selon le cas, cette chasse aux bugs sera traitée par les plateformes HackerOne ou Intigriti/Deloitte. L’un des objectifs du FOSSA est de pérenniser son action : « la sécurité des logiciels libres devrait être une ligne budgétaire permanente de l’Union européenne » défend Julia Reda.