Quinze logiciels, des dizaines de failles potentielles à débusquer et des primes parfois conséquentes à la clé. Voilà le programme du bug bounty, en cours de lancement par la Commission européenne depuis le début du mois de janvier. Ce projet s’inscrit dans la continuité du EU-FOSSA, ou European Union Free and Open Source Software Auditing, lancé en 2015 après la découverte de plusieurs failles de sécurité dans des projets open source, et notamment dans la bibliothèque de cryptographie OpenSSL. Baptisée « Heartbleed », cette vulnérabilité avait mis en lumière les limites défensives des logiciels libres, souvent mal sécurisés par manque de moyens financiers, humains ou logistiques de leurs développeurs.
A la suite de ces événements, les eurodéputés Julia Reda (Parti pirate allemand) et Max Andersson (Parti de l’environnement suédois) se sont investis dans ce FOSSA, un projet d’audit des logiciels libres et open source. Comme le raconte la première sur son blog, il a d’abord fallu faire l’inventaire de tous les logiciels concernés utilisés par les institutions européennes. En 2017, un premier logiciel, le lecteur VLC, avait alors fait l'objet d'une chasse aux failles de sécurité rétribuée.
Jusqu'à 25 000 € de prime
C’est donc ce système qui a été reconduit pour poursuivre la sécurisation de ces outils, utilisés non seulement par les institutions mais également - pour certains - par beaucoup d’entreprises et de particuliers. VLC, Drupal, Notepad++, 7zip, Filezilla et dix autres logiciels sont donc sur la liste des programmes ouverts à l’exploration, via les plateformes HackerOne et Intigriti/Deloitte.
Les primes débutent à quelques centaines d’euros pour un bug mineur et grimpent jusqu'à plusieurs dizaines de milliers pour une faille critique. Les durées de recherche ne sont pas non plus les mêmes selon le logiciel, les plus courtes s’arrêtant à juillet 2019 et les plus longues, à octobre 2020. « L'objectif du projet FOSSA est de faire de la sécurité des logiciels libres un élément permanent du budget de l'Union européenne », souligne Julia Reda sur son blog.