Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Bug bounty : Bruxelles confie VLC à l’américain HackerOne, les concurrents français s’inquiètent

Le moment souverain

Bug bounty : Bruxelles confie VLC à l'américain HackerOne, les concurrents français s'inquiètent

Le 05 décembre 2017 à 15h13

La Commission européenne a choisi la plateforme américaine HackerOne pour une recherche de bugs dans VLC. À la clé, un maximum de 60 000 euros et de bons points auprès de l'institution, qui prévoit de dépenser 2,6 millions d'euros dans de futurs audits. Pour les deux plateformes françaises, B0unty Factory et Yogosha, ce choix pose une importante question de souveraineté.

Fin novembre, la Commission européenne a désigné la plateforme américaine de recherche de bugs (bug bounty) HackerOne pour mener une campagne sur le lecteur vidéo VLC. Jusqu'à 60 000 euros pourraient être investis au maximum dans la découverte de failles dans le célèbre logiciel. Jean-Baptiste Kempf, président de Videolan, nous déclare connaître un montant de 30 000 euros pour cette campagne.

Les chercheurs ont jusqu'aux « premières semaines de janvier » pour trouver des problèmes. Les montants vont de 100 à 3 000 euros par vulnérabilité repérée, même si HackerOne exprime ces sommes en dollars. Les problèmes les plus graves, valant au moins 2 000 dollars, doivent mener à de l'exécution de code à distance.

Fin 2016, la première mouture de FOSSA (Free and Open Source Software Auditing) avait permis l'audit du gestionnaire de mots de passe KeePass et du serveur web Apache HTTP, sans trouver de faille critique. Le bug bounty sur VLC s'inscrit dans le programme EU FOSSA 2, destiné à auditer les logiciels open source utilisés par les institutions européennes, pour un budget total de 2,6 millions d'euros.

D'autres appels d'offres sont prévus en 2018 et 2019. En attendant, le choix d'HackerOne par la Commission ne plaît pas à tous, surtout pas aux plateformes françaises, pour lesquelles de tels programmes de sécurité ne devraient pas être ainsi délégués à des acteurs américains.

HackerOne, « le meilleur rapport qualité-prix »

Contactée, la Commission européenne justifie son choix. Parmi les six sociétés qui se sont présentées, « HackerOne a montré le meilleur rapport qualité-prix selon les critères établis par avance et partagés avec tous les participants ». Que ce soit sur la qualité de la recherche, du processus de récompense et des contrôles externes.

Pour l'institution, que VLC soit « scruté par des chercheurs du monde entier, à la recherche de vulnérabilités, améliorera non seulement sa sécurité, mais aussi la sécurité des entreprises européennes s'appuyant sur ce logiciel ».

Dans son communiqué, qu'elle nous a transmis, elle souligne que « cette action préparatoire permet à la Commission d'organiser des bug bounties [visés par le programme EU FOSSA 2]. VLC, une solution open source, est inclus sur chaque poste de travail de la Commission ».

Elle n'a pas encore répondu à des questions supplémentaires, comme le poids de cette première recherche de bugs dans le choix du prestataire des prochaines campagnes. Elle ne nous a pas plus communiqué la liste des logiciels dont l'audit est envisagé.

Les plateformes françaises soucieuses

Trois services européens existent : B0unty Factory, Yogosha et le néerlandais Zerocopter. Malgré la supériorité d'HackerOne sur les critères de l'institution, les deux plateformes de bug bounty françaises voient un problème à ce choix.

« C'est une trahison de la part de l'Europe. C'est un signal dramatique donné à l'écosystème européen et français » lance ainsi Fabrice Epelboin, cofondateur de la plateforme française Yogosha. La jeune pousse (entrée à Station F à son ouverture) n'a pas participé à l'appel d'offres. Elle nous déclare être sous le seuil de chiffre d'affaires réclamé pour 2016, fixé à 60 000 euros par la Commission.

Du côté de YesWeHack, derrière B0unty Factory, on reconnaît avoir soumis une offre à la commission plus élevée qu'HackerOne, pour une communauté revendiquée de 3 000 chercheurs... contre 100 000 pour son homologue américain. Ce critère comptait pour 140 points sur les 1 000 points de l'évaluation de la Commission, selon un document que nous avons consulté.

Il reste que la plateforme lancée début 2016 aurait peu de chances face à un acteur mondial déjà installé. « De toute façon, les GAFA seront les moins chers, ils ont quatre ans d'avance. Il faut ajouter des critères de souverainetés dans les appels d'offres » nous déclare Guillaume Vassault-Houlière, cofondateur de YesWeHack. HackerOne est utilisé par les groupes américains, dont Facebook, Google et Microsoft, pour leurs campagnes de recherches de bugs.

Une question d'indépendance, selon les acteurs français

« Il y a une réflexion de fond à avoir sur les erreurs déjà commises sur la recherche et le cloud. C'est bien de parler de souveraineté, mais il faut aussi s'en donner les moyens, en s'assurant de la diversité, surtout en cybersécurité. N'est-ce pas à la Commission européenne de montrer l'exemple ? » ajoute-t-il.

« Aura-t-on une indépendance et une souveraineté au niveau de la défense ? Très concrètement, les plateformes de bug bounty, ce sont les troupes » pense Epelboin, dont la plateforme vise les grands comptes, avec une communauté de chercheurs triée sur le volet.

Pour Jean-Baptiste Kempf, président de Videolan, en contact avec YesWeHack sur le sujet, la Commission « n'a rien choisi. C'est un test de deux mois qui peut déboucher sur la suite ». Il accueille favorablement l'initiative de l'institution européenne, qui finance un programme dont l'association française ne pourrait s'acquitter. Nous avons contacté Julia Reda, députée européenne impliquée dans le programme FOSSA l'an dernier, sans réponse pour le moment.

Commentaires (60)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Les logiciels de courriels et de traitement de texte ne seraient-ils pas plus fréquemment utilisés ?

Pourquoi vlc ?

votre avatar

Comme indiqué, c’est un ballon d’essai pour le programme de bug bounty de la Commission européenne, sur un logiciel dont sont équipés ses postes de travail. VLC semble bien correspondre dans ce cas.

votre avatar

Pour moi, c’est un test de 30,000 € (pas 60,000€. 60 000€ est le maximum) de 2 mois, pour évaluer les différentes solutions.



Moi, je suis ravi que la commission fasse qqch pour VLC; la plateforme, je dois avouer que c’est secondaire pour moi.

votre avatar







empty a écrit :



Les logiciels de courriels et de traitement de texte ne seraient-ils pas plus fréquemment utilisés ?

Pourquoi vlc ?







Parce que VLC est arrivé 3ème au programme FOSSA, dont les 2 premiers ont eu une analyse du code, pendant la phase 1. (KeePass et Apache, IIRC)


votre avatar

Qu’en pense l’association VideoLAN ? Ont-ils été avertis ? C’est quand même eux qui s’occupent du développement de VLC à ce que je sache, si des failles sont trouvés c’est à eux qu’il faudra le signaler non ?



EDIT : ok c’était le dernier paragraphe je sais pas lire :‘(

votre avatar







Pierre_ a écrit :



Qu’en pense l’association VideoLAN ? Ont-ils été avertis ? C’est quand même eux qui s’occupent du développement de VLC à ce que je sache, si des failles sont trouvés c’est à eux qu’il faudra le signaler non ?







Bah, j’ai déjà donné mon avis, au-dessus.

Moi, l’important, c’est le retour de bugs; car de toute façon tout notre code est open source.



Nous, on reçoit plein de report de sécurité, et on fixe. Si ça peut avoir plus de gens qui remontent des bugs, c’est parfait.


votre avatar







Pierre_ a écrit :



Qu’en pense l’association VideoLAN ? Ont-ils été avertis ? C’est quand même eux qui s’occupent du développement de VLC à ce que je sache, si des failles sont trouvés c’est à eux qu’il faudra le signaler non ?





Dernier paragraphe


votre avatar







Sans intérêt a écrit :



Tu as raison. Ce n’est certainement pas le premier. Ni le plus important. Mais, dans l’actualité récente, l’un des plus couverts médiatiquement. Quel(s) autre(s) candidat(s) suggères-tu ?





Dans l’actualité récente, je n’ai rien de mieux à proposer.


votre avatar







Sans intérêt a écrit :



C’est une excellente nouvelle que de constater que la Commission européenne s’intéresse concrètement au sujet de la sécurité informatique. Mine de rien, VLC est l’un des logiciels les plus populaires du monde, et y trouver des failles en vue de les colmater permettra d’améliorer la sécurité de tous. Le cas de CCleaner nous a appris que la popularité d’un logiciel pouvait s’avérer être un critère de choix pour des pirates très motivés.



Ceci dit, on l’a vu récemment avec l’affaire Kaspersky, les défauts de sécurité, avérés ou supposés, peuvent servir d’argument pour ruiner la réputation, ou empêcher l’accès de concurrents non américains à certains marchés. Il serait troublant que l’amélioration de la sécurité de VLC empêche sa diffusion.



Pour ce qui est du critère du nombre de chercheurs, celui-ci semble étonnant. Dans un monde en ligne plein de faux profils, est-ce bien pertinent ? Ne devrait-on pas plutôt opter pour un acteur sur la base de résultats passés publiés et validés, plutôt que pour un acteur qui a un carnet d’adresses plus imposant ?



Un autre point paraît étonnant : « le meilleur rapport qualité-prix ». Le risque est de motiver des chercheurs par une garantie de récompense minimale. Mais, une fois une faille trouvée, que ces chercheurs se tournent d’abord vers un acteur concurrent plus généreux du marché gris, avant de se rabattre, le cas échéant, sur la prime qui les as motivés initialement.



Quant à la polémique sur la souveraineté, difficile de trancher.



Nous limiter aux seuls acteurs locaux plus onéreux permettrait, pour un même budget, de trouver moins de failles, et ainsi continuer à utiliser des logiciels moins sécurisés. Mais faire appel à des acteurs étrangers risque d’empêcher les acteurs locaux d’améliorer leur savoir-faire et améliorer leur productivité…





Contrairement à toi, sans même parler de souveraineté, je ne comprends pas du tout en quoi la recherche de failles concerne Bruxelles. Entendons-nous bien : je suis ravi que les failles soient comblées et corrigées, quel que soit l’application. Toutefois, sécurité ou pas sécurité, c’est avant tout aux organismes des équipes de développement (privés ou pas) à chercher ces failles. Que ce soit Bruxelles ou n’importe quel gouvernement, de telles recherches sortent de leurs cadres. Bruxelles et compagnie (Paris, Berlin …) ont, logiquement, d’autres priorités plus urgentes. Encore une fois, on invoque la sacro-sainte “sécurité” pour justifier n’importe quoi !


votre avatar

Il est toujours bon d’avoir une autre paire d’yeux pour scruter un logiciel à la recherche de faille. C’est quelque chose qui se pratique partout.



Pour travailler en ESN, nous soumettons nos logiciels à des analystes externes à la recherche de failles ou juste pour faire un simple audit de code (optimisation, etc.)



VLC étant visiblement très utilisé au sein des institutions EU, il est impératif que Bruxelle fasse effectué un “audit” sécurité du logiciel afin de pouvoir détecter et faire corriger des bugs/failles qui seraient passer sous le radar des dev de VLC notamment.

votre avatar



Il faut ajouter des critères de souverainetés dans les appels d’offres





Ok, mais pourquoi ?  Que vient faire la souveraineté là dedans ? J’aime bien l’idée de demander des critères qui nous donnent l’avantage à ceux qui les émettent.



Est-ce parce que les chercheurs européens seraient meilleurs  que les américains ? Le code source est  ouvert, donc ce n’est pas une question de savoir qui voit quoi. Le but du jeu est de trouver les failles, il est normal de faire avec les plateformes qui ont les capacité de le faire. S’est-on demandé pourquoi elles avaient 4 ans d’avance ? Je ne comprends pas en quoi cet argument de souveraineté serait pertinent pour VLC et ses utilisateurs.

votre avatar







tifounon a écrit :



Il est toujours bon d’avoir une autre paire d’yeux pour scruter un logiciel à la recherche de faille. C’est quelque chose qui se pratique partout.



Pour travailler en ESN, nous soumettons nos logiciels à des analystes externes à la recherche de failles ou juste pour faire un simple audit de code (optimisation, etc.)



VLC étant visiblement très utilisé au sein des institutions EU, il est impératif que Bruxelle fasse effectué un “audit” sécurité du logiciel afin de pouvoir détecter et faire corriger des bugs/failles qui seraient passer sous le radar des dev de VLC notamment.







Je ne conteste pas l’audit du code par une tierce partie mais, à mes yeux, ce n’est pas du ressort de Bruxelles ou de n’importe quel état de financer de tels contrôles.


votre avatar







ComesFuxii a écrit :



Contrairement à toi, sans même parler de souveraineté, je ne comprends pas du tout en quoi la recherche de failles concerne Bruxelles. Entendons-nous bien : je suis ravi que les failles soient comblées et corrigées, quel que soit l’application. Toutefois, sécurité ou pas sécurité, c’est avant tout aux organismes des équipes de développement (privés ou pas) à chercher ces failles. Que ce soit Bruxelles ou n’importe quel gouvernement, de telles recherches sortent de leurs cadres. Bruxelles et compagnie (Paris, Berlin …) ont, logiquement, d’autres priorités plus urgentes. Encore une fois, on invoque la sacro-sainte “sécurité” pour justifier n’importe quoi !







En effet, on peut se demander en quoi la sécurité de logiciels développés par des entités privées peut intéresser un gouvernement ou, à plus forte raison, la Commission européenne (CE). Notons tout de même que l’on parle de projets libres (au sens “open source”), le tout dans le cadre de projets développés et encadrés par des organisations à but non lucratif. Il s’agit néanmoins pour la CE de s’immiscer dans la vie économique, qui plus est pas exclusivement liée à l’Union européenne (UE).



Pour autant, rappelons que l’UE puise ses racines dans la Politique agricolue commune (PAC), puis la Communauté économique européenne (CEE), à savoir des organisations visant justement à réguler et à intervenir dans l’économie européenne. Initialement, sauf erreur de ma part, il s’agissait d’aider les économies européennes à se structurer face à la mondialisation et à la décolonisation en développant une agriculture européenne, dans un but de souveraineté économique (protectionnisme ?), quitte à subventionner la production locale.



Actuellement, notre économie dépend peut-être moins de l’agriculture que du numérique. Il convient en toute logique de s’y intéresser. C’est ce que semble faire la CE ici. Très modestement. Et cette expertise (numérique) sur un domaine relativement nouveau (par rapport à l’agriculture, vieille de plus de dix mille ans) réclame du temps. On ne peut agir qu’en fonction de “priorités” ponctuelles. Il convient aussi de penser sur le long terme.



Personnellement, je préfère que l’UE se consacre à la sécurité informatique en veillant à la protection de ses citoyens et de son économie en colmatant d’éventuelles brèches sur des logiciels libres populaires, qu’elle n’investisse dans des moyens numériques offensifs dont semblent se doter de plus en plus nombreux gouvernements. La CIA aurait exploité une version modifiée de VLC pour espionner ses utilisateurs. Peut-être prudent (et urgent ?) de s’assurer qu’un tel travail d’espionnage (étatique ou économique) soit plus difficile à l’avenir ?


votre avatar







Sans intérêt a écrit :



En effet, on peut se demander en quoi la sécurité de logiciels développés par des entités privées peut intéresser un gouvernement ou, à plus forte raison, la Commission européenne (CE). Notons tout de même que l’on parle de projets libres (au sens “open source”), le tout dans le cadre de projets développés et encadrés par des organisations à but non lucratif. Il s’agit néanmoins pour la CE de s’immiscer dans la vie économique, qui plus est pas exclusivement liée à l’Union européenne (UE).



Pour autant, rappelons que l’UE puise ses racines dans la Politique agricolue commune (PAC), puis la Communauté économique européenne (CEE), à savoir des organisations visant justement à réguler et à intervenir dans l’économie européenne. Initialement, sauf erreur de ma part, il s’agissait d’aider les économies européennes à se structurer face à la mondialisation et à la décolonisation en développant une agriculture européenne, dans un but de souveraineté économique (protectionnisme ?), quitte à subventionner la production locale.



Actuellement, notre économie dépend peut-être moins de l’agriculture que du numérique. Il convient en toute logique de s’y intéresser. C’est ce que semble faire la CE ici. Très modestement. Et cette expertise (numérique) sur un domaine relativement nouveau (par rapport à l’agriculture, vieille de plus de dix mille ans) réclame du temps. On ne peut agir qu’en fonction de “priorités” ponctuelles. Il convient aussi de penser sur le long terme.



Personnellement, je préfère que l’UE se consacre à la sécurité informatique en veillant à la protection de ses citoyens et de son économie en colmatant d’éventuelles brèches sur des logiciels libres populaires, qu’elle n’investisse dans des moyens numériques offensifs dont semblent se doter de plus en plus nombreux gouvernements. La CIA aurait exploité une version modifiée de VLC pour espionner ses utilisateurs. Peut-être prudent (et urgent ?) de s’assurer qu’un tel travail d’espionnage (étatique ou économique) soit plus difficile à l’avenir ?





Les racines remontent même à la création de la Communauté du charbon et de l’acier, dédiée à la gestion des ressources entre la France et l’Allemagne car la suprématie de cette dernière en la matière à permis l’émergence de la guerre.


votre avatar

Si je ne m’abuse le but de l’Europe était aussi de faire contrepoids aux gros blocs comme la Russie et les US puis la Chine.



Donc penser nationale n’est pas déconnant, d’autant plus que c’est le serpent qui se mort la queue; peu d’appels d’offres remportés donc peu de monde motivé donc toujours pas d’appels d’offres remportés donc…



Au final le gros continue de grossir et donc continue de raffler ce genre de contrat tandis que les locaux étant plus petit et moins ceci et moins cela ne font pas le poids. Si on ne casse pas le cercle il n’y a aucune raison que cela change.



Et surtout, vu comment les EU font du protectionnisme à outrance en mettant du national par-ci par-là (Coucou Kaspersky), ce ne serait que jouer à armes égales. 



Mais non en Europe on aime se faire dilater le fondement et on en redemande…Triste.

votre avatar

Les règles des marchés publics sont régis par le droit européen, et imposent un principe d’égalité. C’est en contradiction avec une quelconque préférence communautaire ou nationale. Ces règles sont aussi transcrites dans le droit français, ce qui empêche une quelconque préférence nationale dans les marchés publics français. Pour changer ça il faut changer le droit européen, bon courage !

votre avatar

L’article explique pourtant pourquoi la Commission lance le test :

“Fin 2016, la première mouture de FOSSA avait permis l’audit du gestionnaire de mots de passe KeePass et du serveur web Apache HTTP, sans trouver de faille critique. Le bug bounty sur VLC s’inscrit dans le programme EU FOSSA 2, destiné à auditer les logiciels open source utilisés par les institutions européennes, pour un budget total de 2,6 millions d’euros.”



Quand un organisme aussi critique en terme de risque d’infiltration ou de manipulation utilise un logiciel, elle doit se protéger. La Commission utilise VLC, elle veut s’assurer qu’aucune faille n’est exploitable. En plus, on parle de 30 000 euros, ce qui est une goutte d’eau par rapport au risque d’un piratage.



Lors d’un stage chez EDF R&D, j’utilisais un PC avec une version de Linux modifiée spécialement, notamment pour colmater toutes les failles connues à l’époque. De la même manière, on aurait pu dire que ce n’était pas à EDF de sécuriser son OS, que le fournisseur devait fournir la garantir. Pourtant ils l’ont fait, parce que ça répondait à un besoin.

votre avatar







js2082 a écrit :



Il existe en France une obligation de réserver un pourcentage minimum de la commande publique aux petits acteurs. cela permet ainsi d’écarter les grands groupes et de faire vivre ou éclore des acteurs dont l’arrivée sur le marché serait impossible sans cela.



Le critère de nationalité est un critère très souvent, voire constamment, utilisé pour les marchés publics aux Etats-unis. rien n’empêche la commission de faire de même.

 

Plus grave, le fait de ne pas mettre de critères permettant de rééquilibrer le marché et les propositions qu’elle fait constitue à mes yeux clairement une violation du principe fondateur de l’Europe, à savoir permettre l’existence d’un marché et d’une concurrence libre et non-faussée.



Il est triste de constater que le critère “non-faussé” est devenu insignifiant aux yeux de la Commission.





Tu fausse aussi le marché en introduisant des obligations dans un marché publique. Si une entreprise étrangère offre de meilleurs services, il est aussi dans l’intérêt des citoyens de l’Union que leurs institutions respectent leurs contributions en choisissant le fournisseur le plus efficace. L’Etat n’a pas non plus à faire vivre pour le plaisir de faire vivre des acteurs moins performants sous le simple prétexte que le financement provient des contribuables (en tout cas ce n’est pas un des but de la politique des marchés publiques).



La concurrence n’est pas faussée juste par le fait qu’il existe une différence de taille entre les entreprises.



L’essentiel est d’établir un cahier des charges clair et précis sur ce dont a besoin la Commission, et comment les offres seront notées. Après, aux participants de faire la meilleure offre: c’est trop facile d’appeler au protectionnisme quad on a perdu.


votre avatar

Si le logiciel est utilisé par les employés de la Commission, on peut imaginer que celle-ci a un intérêt passablement important à être sûr que ces logiciels sont “propres”.



Si une entreprise veut utiliser un logiciel, elle va l’auditer afin d’être sûre que ce logiciel correspond à sa politique de sécurité.



Pour moi, la logique n’est pas vraiment différente que de payer un employé ou un externe pour établir des règles de travail imposant aux employés de mettre des mots de passe sur leurs appareils, à fermer à clé les bureaux quand on part ou à ranger les dossiers confidentiels dans un endroit spécial à la fin de la journée.



Je considère donc pas que ça dépasse aussi nettement le cadre des activités de la Commission. Après effectivement si c’est une campagne à plein de millions avec plein de participants pour un logiciel qui n’est pas ou peu utilisé, là on dépasserait les bornes.

votre avatar

Merci, je me coucherai moins bête ce soir.

votre avatar

Pour me faire l’avocat du diable, le critères peuvent être un moyen de sélection déguisée. Il suffit de sélectionner une caractéristique que les concurrents de celui que tu veux faire gagner n’ont pas.



Je n’accuse personne dans ce cas précis mais c’est courant comme technique, que ce soit pour des appels d’offre, des offres d’emploi où l’on publie l’annonce par obligation légale etc.

votre avatar

C’est très juste. Mais au moins celui qui fait l’appel d’offre doit être transparent sur ses raisons. On permet aussi aux participants de (au moins) pouvoir contester l’attribution. J’ai rien contre le fait qu’on prenne en compte certains facteurs (conditions des travailleurs, écologie, sécurité ou autre) dans la pondération de la note, mais ça doit rester raisonnable et encadré parce que le principe de base est le libre marché.



Après, le développement et l’application des règles relatives aux marchés publiques n’éradique malheureusement la mauvaise gestion qui résulte de certaines pratiques de copinage que certains se permettent de faire parce qu’ils ont entre les mains de l’argent publique.

votre avatar







paulez a écrit :



Les règles des marchés publics sont régis par le droit européen, et imposent un principe d’égalité. C’est en contradiction avec une quelconque préférence communautaire ou nationale. Ces règles sont aussi transcrites dans le droit français, ce qui empêche une quelconque préférence nationale dans les marchés publics français. Pour changer ça il faut changer le droit européen, bon courage !





La préférence communautaire fait partie depuis toujours de la PAC, et est aussi en vigueur en ce qui concerne l’embauche de travailleurs étrangers. Ça n’a pas été étendu aux autres domaines pour des raisons totalement couillones (espérer que si on ouvre le marché de l’Europe aux autres, les autres s’ouvriront en retour à l’Europe, ce qui ne marche pas du tout avec les américains qui prêchent le libéralisme et l’ouverture pour les autres, mais pratiquent ostensiblement le protectionnisme).


votre avatar



Elle nous déclare être sous le seuil de chiffre d’affaires réclamé pour 2016, fixé à 60 000 euros par la Commission.



Parce qu’il y a un seuil minimal de chiffre d’affaire pour postuler? <img data-src=" /> Mais pourquoi?

votre avatar

Fin de l’article :

&nbsp; « Pour Jean-Baptiste Kempf, président de Videolan,&nbsp;en contact avec YesWeHack sur le sujet, la Commission « n’a rien choisi. C’est un test de deux mois qui peut déboucher sur la suite

». Il accueille favorablement l’initiative de l’institution européenne,

qui finance un programme dont l’association française ne pourrait

s’acquitter. »

votre avatar

Je n’ai pas compris ce passage :

“Les problèmes les plus graves, valant au moins 2 000 dollars, sont de

l’exécution doivent mener à de l’exécution de code à distance.”

votre avatar

Et bien c’est les joies de la libre concurrence les gars, vous avez joué et vous avez perdu, si vous vouliez des critères de souveraineté du protectionnisme il ne faut pas s’adresser à Bruxelles.

votre avatar

C’est corrigé, merci.&nbsp;<img data-src=" />&nbsp;Pour les erreurs, le mieux reste de passer par le formulaire dédié (accessible en surlignant le texte).

votre avatar

C’est une excellente nouvelle que de constater que la Commission européenne s’intéresse concrètement au sujet de la sécurité informatique. Mine de rien, VLC est l’un des logiciels les plus populaires du monde, et y trouver des failles en vue de les colmater permettra d’améliorer la sécurité de tous. Le cas de CCleaner nous a appris que la popularité d’un logiciel pouvait s’avérer être un critère de choix pour des pirates très motivés.



Ceci dit, on l’a vu récemment avec l’affaire Kaspersky, les défauts de sécurité, avérés ou supposés, peuvent servir d’argument pour ruiner la réputation, ou empêcher l’accès de concurrents non américains à certains marchés. Il serait troublant que l’amélioration de la sécurité de VLC empêche sa diffusion.



Pour ce qui est du critère du nombre de chercheurs, celui-ci semble étonnant. Dans un monde en ligne plein de faux profils, est-ce bien pertinent ? Ne devrait-on pas plutôt opter pour un acteur sur la base de résultats passés publiés et validés, plutôt que pour un acteur qui a un carnet d’adresses plus imposant ?



Un autre point paraît étonnant : « le meilleur rapport qualité-prix ». Le risque est de motiver des chercheurs par une garantie de récompense minimale. Mais, une fois une faille trouvée, que ces chercheurs se tournent d’abord vers un acteur concurrent plus généreux du marché gris, avant de se rabattre, le cas échéant, sur la prime qui les as motivés initialement.



Quant à la polémique sur la souveraineté, difficile de trancher.



Nous limiter aux seuls acteurs locaux plus onéreux permettrait, pour un même budget, de trouver moins de failles, et ainsi continuer à utiliser des logiciels moins sécurisés. Mais faire appel à des acteurs étrangers risque d’empêcher les acteurs locaux d’améliorer leur savoir-faire et améliorer leur productivité…

votre avatar

D’ailleurs question un peu hs, on sait combien de vlc sont installé dans le monde à peu près ?

votre avatar

Ca serait pas plus productif de payer quelques euros par poste à VideoLAN pour l’utilisation de VLC ?

Cela leur permettrait peut-être d’embaucher un expert en sécurité…

votre avatar

La taille de la communauté est un critère parmi d’autres, mais il avantage HackerOne, qui est un “historique” du domaine.

votre avatar







darkbeast a écrit :



D’ailleurs question un peu hs, on sait combien de vlc sont installé dans le monde à peu près ?







~300-400 M en desktop

~100M en mobile?


votre avatar

Est-ce le rôle de la commission européenne de faire ce genre de chose déjà.

votre avatar

C’est très souvent le cas pour les marchés publics et pour ceux des grandes sociétés. Cela permet d’éviter la petite boite dont tu es le seul client et qui meurt quand le marché se termine voire pire avant que la prestation ne soit rendue.

votre avatar

Oui parfaitement.Elle le fait pour la sécurité de ses postes si en plus cela profite à la communauté (Européenne et Mondiale), tant mieux.

votre avatar







MoonRa a écrit :



Est-ce le rôle de la commission européenne de faire ce genre de chose déjà.





Vu que la commission reçoit de l’argent publique, qu’elle l’utilise pour le bien publique (la sécurité informatique de logiciels open-source populaires&nbsp; fait parti du bien publique selon moi) ne me choque pas forcément.



Ce qui serait bien c’est que ça ne soit pas les seuls à le faire par contre, histoire de mutualiser l’effort (mais c’est bien que ça soit au niveau européen déjà).


votre avatar

Juge et parti ?

votre avatar







jb a écrit :



~300-400 M en desktop

~100M en mobile?





Question absolument pas malicieuse, mais comment obtenez vous ces chiffres? Compter le nombre de téléchargement ne parait pas vraiment fiable, c’est calculé à partir de la télémétrie?


votre avatar

Que veux tu, on aime bien se pencher en avant alors que le constat est clair niveau EU ou Chine… Et donc au lieu de jouer nous aussi le jeu du protectionnisme-mais-pas-trop, on prefere vendre (nos sociétés) et acheter hors UE.

Et après les même vont se plaindre de l’hégémonie de groupe géant comme Google ou Amazon, et que c’est dommage de ne pas avoir d’alternative européenne.

votre avatar

Quand même!

votre avatar







Tchikow a écrit :



Quand même!





Ouais.


votre avatar







Silly_INpact a écrit :



Parce qu’il y a un seuil minimal de chiffre d’affaire pour postuler? <img data-src=" /> Mais pourquoi?





C’est tout à fait courant dans les marchés publics (et d’ailleurs, je crois que c’est la première fois que je vois un montant minimal aussi faible…). C’est surtout pour éliminer les coquilles vides juridiques toutes justes créées, et les sociétés trop “à risque” en terme de stabilité qui pourrait faire faillite/défaut une fois le projet remporté.

Dans le marché IT, c’est extrêmement rare de voir un marché confié à une société de moins de 3 ans d’existence. Surtout que là on parle de CA, pas de résultat, donc pas de soucis que la boite soit en mode cash burn avec un équilibre négatif, mais par contre elle doit avoir prouvée sa capacité à délivrer/facturer.

#VisMaVie


votre avatar







jb a écrit :



Ouais.







Tu peux rajouter +10k aux desktops : j’ai fait installer sur mon parc un vlc downloadé une seule fois depuis la source, et stocké sur un partage samba local. <img data-src=" />

Ah bah nan, dl 2 fois en fait : une fois en win32, l’autre en win64 <img data-src=" /> <img data-src=" />


votre avatar







Gnppn a écrit :



C’est corrigé, merci.&nbsp;<img data-src=" />&nbsp;Pour les erreurs, le mieux reste de passer par le formulaire dédié (accessible en surlignant le texte).





J’ignorais qu’il s’agissait d’une erreur.


votre avatar







Uther a écrit :



Question absolument pas malicieuse, mais comment obtenez vous ces chiffres? Compter le nombre de téléchargement ne parait pas vraiment fiable, c’est calculé à partir de la télémétrie?







Y a pas de télémétrie dans VLC.



Android, iOS, WinRT -&gt; Données du store.



Desktop, nombre de dl d’une version unique.


votre avatar







Sans intérêt a écrit :



…Le cas de CCleaner nous a appris que la popularité d’un logiciel pouvait s’avérer être un critère de choix pour des pirates très motivés…





Ah ? Je n’ai pourtant pas l’impression que ce logiciel soit le premier à démontrer ce fait.


votre avatar

L’un n’empêche pas l’autre. Il peuvent même donner le reliquat des primes à Videolan…

votre avatar

le problème avec les critères de la commission, c’est qu’ils avantagent grandement les acteurs historiques.

je vois pas, si on change pas ces critères, comment la prochaine fois on retomberait pas sur le même résultat…

votre avatar







Sans intérêt a écrit :



Mais, une fois une faille trouvée, que ces chercheurs se tournent d’abord vers un acteur concurrent plus généreux du marché gris, avant de se rabattre, le cas échéant, sur la prime qui les as motivés initialement.





Il y à plein de sites qui publient des failles chaque mois sur des tonnes de sites dans le top alexa… Les failles ne sont que très rarement corrigés, au pire plus active quand le site est refait. J’ai exploité une faille il y à quelques années pour inclure un jpg dans un gros site français, je voulais demander de l’argent “pour le lulz”. J’ai écris à korben, clubic, nxi, zataz… et ils m’ont envoyés boulés…



Un gros groupe de presse indépendant m’a quand même publié, l’article à pas fait réagir beaucoup de monde mais la faille à été colmatée… Bien entendu la faille c’était un truc de noob dans le premier paragraphe d’un livre sur le hacking web.



Ha parfois j’ai envie de me lever le matin, de faire une razia sur les failles et d’attaquer les sites en demande du bitcoin en rançon :/


votre avatar

Derrière la question e souveraineté, je vois aussi la possibilité pour HackerOne de découvrir des failles et de ne pas les divulguer publiquement pour n’en faire profiter que la NSA, CIA et cie. Après les révélations de ces dernières années, je ne pense pas que l’hypothèse puisse être écartée si facilement. Mais bon comme le code est ouvert, si certains voient le boue, d’autres pourront le voir également.

votre avatar

Pour ne pas passer de marchés avec des rigolos qui ont monté leur boite dans leur cuisine et qui mettent la clé sous la porte quelques mois après… si une institution passe un marché c’est pour avoir un résultat, pas pour repasser le même marché quelques mois après en n’ayant plus personne qui répond (cause pas retenu une première fois) et en ne pouvant du coup plus assurer le résultat puisque le code des marchés est incontournable.



C’est injuste et ça favorise les grands acteurs.

C’est dans la logique du capitalisme de concentration de l’activité, rien de bien nouveau.

votre avatar







jb a écrit :



~300-400 M en desktop

~100M en mobile?







ok merci, et du coups le chiffre serait beaucoup plus important si contrairement à pas mal de nos clients, la dsi interdit vlc pour en laisser que le windows media player (sympa quand on doit leur faire parvenir des vidéos).


votre avatar







hellmut a écrit :



le problème avec les critères de la commission, c’est qu’ils avantagent grandement les acteurs historiques.

je vois pas, si on change pas ces critères, comment la prochaine fois on retomberait pas sur le même résultat…





Il existe en France une obligation de réserver un pourcentage minimum de la commande publique aux petits acteurs. cela permet ainsi d’écarter les grands groupes et de faire vivre ou éclore des acteurs dont l’arrivée sur le marché serait impossible sans cela.



Le critère de nationalité est un critère très souvent, voire constamment, utilisé pour les marchés publics aux Etats-unis. rien n’empêche la commission de faire de même.

&nbsp;

Plus grave, le fait de ne pas mettre de critères permettant de rééquilibrer le marché et les propositions qu’elle fait constitue à mes yeux clairement une violation du principe fondateur de l’Europe, à savoir permettre l’existence d’un marché et d’une concurrence libre et non-faussée.



Il est triste de constater que le critère “non-faussé” est devenu insignifiant aux yeux de la Commission.


votre avatar

&nbsp; Sur le code de la v2.2.6 ou v3 ?

votre avatar







empty a écrit :



Sur le code de la v2.2.6 ou v3 ?





3


votre avatar

Et pourquoi un marché fermé et pas un bug bounty ouvert où n’importe qui peut participer ?

votre avatar

S’ils en sont encore au stade de l’inquiétude, c’est qu’ils ont bien 10 ans de retard au compteur, et qu’ils ont loupé la vidéo “Qui gouverne la France ?” d’un certain François Asselineau. Dommage pour eux.

votre avatar

Tu as raison. Ce n’est certainement pas le premier. Ni le plus important. Mais, dans l’actualité récente, l’un des plus couverts médiatiquement. Quel(s) autre(s) candidat(s) suggères-tu ?

votre avatar

Sans réclamer de rançon (ce qui est clairement illégal), il y a un “marché gris” de failles de sécurité non publiées consistant, pour un chercheur, à ne surtout pas contacter le développeur du logiciel mis en déroute, mais plutôt une entreprise tierce qui rachète ces failles en vue de les revendre au (gouvernement ?) plus offrant. Parmi ceux-ci figure Zerodium, anciennement (?) Vupen Security.

Bug bounty : Bruxelles confie VLC à l’américain HackerOne, les concurrents français s’inquiètent

  • HackerOne, « le meilleur rapport qualité-prix »

  • Les plateformes françaises soucieuses

  • Une question d'indépendance, selon les acteurs français

Fermer