Le gestionnaire de mots de passe KeePass va bénéficier d'un programme pilote de l'Union européenne qui lui permettra de passer un audit de sécurité au niveau de son code source.

La Commission européenne s’intéresse à la qualité de conception des logiciels libres. Aussi a-t-elle décidé de mettre en place l’initiative EU-FOSSA (pour « audit européen des logiciels libres et à code source ouvert ») pour vérifier si les programmes ont été développés correctement. Il s’agit en particulier de repérer des défauts qui pourraient causer un affaiblissement de la sécurité.

Dans ce cadre, la Commission européenne va organiser l’audit de KeePass. Il s’agit d’un gestionnaire de mots de passe qui permet à l’utilisateur de conserver ses codes secrets dans un logiciel au lieu de les mémoriser. En effet, l’une des règles en sécurité informatique est de ne jamais utiliser plus d’une fois un même mot de passe. Or, c’est une gageure de penser que l’on peut tous les retenir.

europe-drapeaux-1900
Bruxelles se penche sur les logiciels libres.

C’est pour cette raison qu’il existe des outils comme KeePass (parmi ses concurrents figurent Dashlane, 1Password et LastPass). Ils permettent de satisfaire cette règle de sécurité informatique, trop souvent ignorée des internautes, et d’en valider d’autres dans la foulée : longueur, complexité, renouvellement… des contraintes qu’un usager lambda ne pourrait pas affronter sans un logiciel adapté.

Mais encore faut-il que celui-ci dispose d’un très haut de niveau de sécurité. On l’a vu : ces logiciels ne sont pas invulnérables. L’an dernier, LastPass a ainsi fait part d’une intrusion dans son infrastructure, qui a entraîné la fuite de données personnelles. Les mots de passe n’ont pas été affectés par cet incident, selon le gestionnaire. Quoiqu’il en soit, l’incident a montré la nécessité d’un haut degré d’exigence.

Cadenas
La protection des mots de passe est-elle au niveau ?

Outre le fait qu’il soit libre et ouvert, KeePass est un gestionnaire de mots de passe assez répandu. Il n’est donc pas vraiment surprenant qu’il ait été sélectionné pour bénéficier d’un audit. En France, KeePass est recommandé par l’État et bénéficie d’un feu vert de l’agence nationale de la sécurité des systèmes d’information depuis qu’il a obtenu la certification de sécurité de premier niveau.

Outre KeePass, Bruxelles va aussi organiser l’audit des serveurs Apache HTTP. Le choix de KeePass et des serveurs Apache HTTP a été effectué par les internautes, qui ont voté en leur faveur. D’autres logiciels ont aussi été proposés à l’audit comme VLC, Linux, MySQL, 7-Zip, OpenSSL, FileZilla, OpenSSH, Drupal, Notepad++ ou Firefox, mais ils n’ont pas recueilli assez de votes.

L’intérêt de l’Union européenne pour les logiciels libres n’est pas neuf. En décembre 2014, la députée Julia Reda, qui représente le parti pirate au parlement européenne, a obtenu de la Commission le déblocage d’une enveloppe d’un million d’euros pour ce projet pilote consistant à mener l’audit des logiciels open source qui sont utilisés par les institutions européennes.

Partager sur les réseaux sociaux

Articles liés