Sécurité : l'Europe inclut un bug bounty à son audit logiciel Open Source

Chasse aux bugs oblige, le budget dédié à l’extension du programme européen d’audit des logiciels Libres et Open Source (EU-FOSSA) a presque doublé. 1,9 million d’euros lui seront consacrés.

Le Parlement européen a approuvé la semaine dernière un budget de 1,9 million d’euros pour améliorer la sécurité IT à travers l’extension de son programme d’audit des logicels Libres et Open Source (EU-FOSSA). Ce bugdet inclut un nouveau programme de chasse aux bugs. Il vise à encourager les chercheurs tiers à signaler des failles dans les logiciels de l’UE.

Le programme EU-FOSSA a été lancé il y deux ans à l’initiative d’eurodéputés du groupe des Verts/Alliance libre européenne. Le bug bounty associé au programme a été proposé plus récemment par Marietje Schaake du groupe Alliance des démocrates et des libéraux pour l’Europe. « Les bugs ou les vulnérabilités de logiciels sont utilisés par des criminels pour infiltrer des systèmes et des réseaux entiers. Les institutions de l’UE doivent faire tout ce qui est en leur pouvoir pour disposer d’une sécurité la plus robuste possible ». Un bug bounty en fait partie puisqu’il « encourage la découverte de bugs à travers des récompenses distribuées aux chercheurs en sécurité capables de les repérer », a-t-elle souligné.

Quasi doublement du budget

Fin 2014, le programme EU-FOSSA a été lancé à l’initiative de Julia Reda et Max Andersson du groupe des Verts/ALE. Le programme, dans sa version initiale, arrive à son terme à la fin du mois, rappelle JoinUp. 1 million d’euros avaient été débloqués. Dans ce cadre, le code de projets Open Source (le serveur Apache HTTP et le gestionnaire de mots de passe KeePass) a été vérifié, entre autres. Et les contributions entre les institutions européennes et l’écosystème Open SOurce ont été renforcées.

Aujourd’hui, les eurodéputés espèrent que le programme FOSSA et son bug bounty renforcent les liens avec les professionnels de la sécurité informatique et la communauté Open Source. « Nous espérons que ce programme contribuera au soutien des logiciels libres dans les administrations publiques, qui continuent à s’appuyer trop lourdement sur des solutions propriétaires », selon Max Andersson.