L’Union Européenne lance un programme de Bug Bounty sur plusieurs bibliothèques et logiciels Open Source

L’Union Européenne lance un programme de Bug Bounty sur plusieurs bibliothèques et logiciels Open Source

Depuis 2014 et la découverte de vulnérabilités au sein d’OpenSSL, de nombreux acteurs ont pris conscience de l’importance de la sécurité des composants Open Source. En effet, de nombreux logiciels ou bibliothèques de code Open Source sont utilisés ou embarqués au sein d’autres composants.

Ainsi, une vulnérabilité qui affecterait une bibliothèque pourrait affecter en cascade tous les composants qui l’utiliseraient ou dont la bibliothèque serait présente dans l’arbre des dépendances.

Malheureusement, ces composants sont tout aussi victimes de leur aspect ouvert. Souvent gratuits d’utilisation (selon les licences), plusieurs de ces projets sont développés et financés par des organisations ou des communautés de passionnés et bénévoles. À ce titre, même si de nombreux projets Open Source ont la sécurité au cœur de leur conception et de leur développement, l’absence d’audit et de tests externalisés par des experts en sécurité leur fait souvent défaut.

Depuis quelques années maintenant, on peut observer de plus en plus de projets basés sur des financements participatifs ou d’entreprises visant à financer des audits de sécurités pour des logiciels ou ressources très importantes dans l’écosystème informatique. L’une des plus notables étant FOSSA (Free and Open Source Software Audit).

Cette initiative va être reconduite en 2019 par l’Union européenne sous forme de Bug Bounty et va concerner une quinzaine de composants Open Source qui figurent sur l’inventaire des outils utilisés par les institutions de l’UE. Parmi les composants visés se trouvent des logiciels très répandus tels que VLC, 7-Zip, Keepass, Putty ou encore Notepad++. Au total, plusieurs centaines de milliers d’euros seront proposés en récompense pour les failles de sécurités qui pourraient être identifiées. Par exemple, le programme de Bug Bounty pour VLC totalisera 58 000 euros, montant qui sera ensuite distribué en fonction des vulnérabilités identifiées et de leur niveau de criticité.

L’Union européenne espère ainsi renforcer la sécurité de ses systèmes et outils ainsi que la sécurité globale de ses citoyens.

 


Référence

https://juliareda.eu/2018/12/eu-fossa-bug-bounties/


Jean-Christophe Pellat

Cert-XMCO