La Commission a réuni 200 000 euros pour lancer un programme de « bug bounty », autrement dit de chasse aux bugs. Objectif, payer celles et ceux qui signaleront des failles de sécurité dans une sélection de projets.
LibreOffice, Mastodon, Odoo, Cryptpad et LEOS sont ainsi dans l’œil de la Commission, pour une raison simple : ils sont utilisés dans une ou plusieurs institutions européennes (Commission, Parlement et Conseil) et par des États membres.
Elle souhaite donc s’assurer que ces logiciels essentiels soient aussi auscultés que possible. Géré par l’Open Source Programme Office, le fonds ira récompenser d’un maximum de 5 000 euros les personnes ayant signalé d’importantes failles, majorées de 20 % si un correctif est fourni.
Ce programme s’inscrit dans une initiative plus large sur l’open source dans la période 2020-2023, qui vise plusieurs objectifs : améliorer l’offre logicielle, promouvoir des initiatives européennes, réviser les pratiques, pousser l’innovation, développer les compétences, renforcer la sécurité, etc.
On est cependant un peu surpris par le montant maximal de la prime, car 5 000 euros sont bien peu dans ce domaine. Le découvreur d’une faille pourrait la vendre au plus offrant.
Et pas besoin d’évoquer le dark web et autres sombres personnages : le marché gris des failles de sécurité est une activité commerciale « comme les autres ». Des sociétés comme Zerodium achètent – parfois à prix d’or – des brèches pour en faire profiter leurs clients, quels qu’ils soient.
Dans les programmes de chasse aux bugs, les montants des primes doivent donc être incitatifs pour motiver les personnes concernées à venir confier leurs découvertes. En particulier quand il s’agit de solutions utilisées dans des institutions publiques.
À titre d’exemple, Apple avait lancé son programme en 2016, avec des récompenses pouvant grimper jusqu’à 200 000 dollars. La somme avait été jugée un peu faible à l’époque. En 2019, la société avait révisé sa grille, incluant macOS et offrant jusqu’à un million de dollars.
Commentaires (15)
#1
#2
A voir le temps que prends de trouver une/des failles et éventuellement proposer un correctif.
Mais 5000€ c’est déjà mieux que rien. Tout le monde ne cherche a faire fortune.
Gagner ça vie en servant “l’humanité” intéresse peut-être suffisamment de personne.
#3
Ce qu’a montré log4shell ou faker.js c’est que le problème n’est pas tant celui de trouver les failles que celui de de trouver des volontaires pour maintenir des projets qui sont devenus des dépendances essentielles du web.
https://xkcd.com/2347
#4
Il n’y avait déjà eu un bug bounty de l’UE dont avait bénéficié VLC?? Je crois que c’est la députée du parti pirate qui s’était battue pour lancer ce bug bounty.
#5
Je suis surpris pour odoo, mais pourquoi pas.
#6
oui 5000 ce n’est pas beaucoup, mais je crois qu’il arrive souvent qu’on découvre une faille par hasard, ensuite
soit on laisse tomber (ons se dit qu’ils trouveront tout seul),
soit c’est le parcours du combatant car tout le monde s’en moque.
Fréquemment j’ai signalé non pas des failles, mais des sites inopérants (linkedIn, Apec, …) et on m’a toujours répondu 1) il faut utiliser chrome, on est optimisé pour chrome 2) avez-vous pensé à vider le cache ? 3) personne ne nous a jamais remonté ce problème donc c’est que ça marche
… et le site est inaccessible pendant plusieurs mois… et j’ai beau dire que j’ai vérifié sur [3 PC + 3 tablettes] X 4 navigateurs…