En janvier 2019, l'Union européenne ouvre la chasse aux failles dans les logiciels libres

in

EU-FOSSA, ou European Union Free and Open Source Software Auditing, est un projet initié par les eurodéputé⋅es Max Anderson et Julia Reda — après la découverte d'une faille de sécurité dans OpenSSL, Heartbleed existant depuis 2012 et découverte en 2014 — et porté par la Commission européenne depuis 2015. En 2017, le projet a été reconduit pour trois ans sous le nom de EU-FOSSA 2 et, après un premier Bug Bounty en novembre 2017, une prime pour la détection de failles de sécurité pour le lecteur média libre VLC, la Commission a annoncé en janvier 2019 quinze nouvelles primes pour des logiciels libres utilisés par les institutions européennes.

L'eurodéputée Julia Reda rappelle sur son site, en anglais, l'enjeu et l'historique de ce projet :

Le problème a fait que de nombreuses personnes ont pris conscience de l'importance des logiciels libres dans l'intégrité et la fiabilité d'Internet et d'autres infrastructures. Comme beaucoup d'autres organisations, des institutions comme le Parlement européen, le Conseil ou la Commission se basent sur des logiciels libres pour faire tourner leur site web et bien d'autres choses. Mais l'Internet n'est pas seulement crucial pour notre économie et notre administration. C'est l'infrastructure sur laquelle repose notre vie de tous les jours. C'est le moyen par lequel nous récupérons de l'information et par lequel nous sommes politiquement actifs 1.

Elle liste également les projets libres concernés, les plateformes de signalement, la période de « chasse à la prime » et le montant des récompenses disponibles. Certaines primes sont ouvertes jusqu'à la fin juillet 2019, pour Keepass par exemple, ou d'autres, comme Drupal, le sont jusqu'à octobre 2020.

Un « Bug bounty » est une prime pour les personnes qui recherchent activement des failles de sécurité. Le montant de la prime dépend de la sévérité de la faille découverte et de l'importance relative du logiciel. [...]. Vous pouvez contribuer aux projets ci-dessous [voir la liste] en analysant les logiciels et en soumettant les bugs ou vulnérabilités que vous trouvez dans les plateformes concernées 2.

L'April salue cette initiative, la personne publique agissant pleinement dans sa mission de service public en participant, ici par le biais de primes, à la sécurité informatique de logiciels librement utilisables et réutilisables, par toutes et tous, et qui ont un rôle déterminant dans l'infrastructure globale d'Internet. L'association soutient évidement l'objectif annoncé par l'eurodéputée de pérennisation de la sécurité des logiciels libres dans le budget de l'Union européenne.

  • 1. Traduction réalisée par l'April.
  • 2. Idem