À partir de 2019, l'Union européenne proposera des récompenses à celles et ceux repérant des failles dans certains logiciels libres.

À partir de janvier 2019, l’Union européenne lancera 15 programmes de chasses aux bugs consacrés à des logiciels libres. C’est ce qu’a fait savoir le 27 décembre la députée européenne Julia Reda sur son blog. La parlementaire, élue en 2014 sur une liste du Parti pirate en Allemagne, explique que 14 de ces programmes seront lancés dès janvier tandis que le quinzième débutera en mars.

Les logiciels libres sélectionnés sont très divers : certains sont couramment utilisés par le grand public, alors que d’autres sont principalement manipulés par des développeurs. On trouve ainsi 7-Zip, Apache Kafka, Apache Tomcat, Digital Signature Services (DSS), Drupal, FileZilla, FLUX TL, GNU C Library (glibc), KeePass, midPoint, Notepad++, PHP Symfony, PuTTY, VLC Media Player, WSO2.

brise-casse-faille-breche-vulnerabilite
Un programme pour détecter les brèches et les réparer. // Source : Lenz

La durée de la chasse aux bugs et le montant des récompenses varient selon le projet. Pour FileZilla par exemple, l’examen durera un peu plus de sept mois et bénéficiera d’une enveloppe de 58 000 euros pour remercier celles et ceux qui signaleront des failles dans le logiciel. Drupal à l’inverse bénéficiera d’un programme de plus de 21 mois et de fonds s’élevant à 81 000 euros.

Le montant le moins élevé est consacré à FLUX TL (34 000 euros). Le plus élevé revient à PuTTY (90 000 euros).

Au regard de la puissance économique de l’Union européenne, les sommes investies dans la chasse aux bugs sont relativement modestes. L’existence de ce programme et le fait qu’il soit conçu en faveur des logiciels libres révèlent toutefois une certaine prise de conscience au sein du Vieux Continent du poids qu’ont pris au fil du temps certains de ces logiciels.

Le choc Heartbleed

C’est d’ailleurs l’existence de la vulnérabilité Heartbleed, révélée au mois d’avril 2014, qui a joué le rôle de déclencheur. Nichée dans la bibliothèque cryptographique OpenSSL, elle est restée invisible pendant deux ans malgré le caractère open source du logiciel — chacune et chacun peut contrôler le contenu du code source et remonter l’existence d’un problème et ainsi contribuer à son application.

À l’époque des faits, il a été constaté que le développement d’OpenSSL n’était assuré que par une poignée de développeurs bénévoles, alors même que cette bibliothèque revêt une importance cruciale pour la sécurité des échanges (OpenSSL est une implémentation open source des protocoles SSL et TLS, qui servent à établir des télécommunications sécurisées, pour les transactions bancaires par exemple.

Depuis, de grandes entreprises du net, qui sont elles-mêmes utilisatrices d’OpenSSL, ont déclaré leur intention de financer son développement.

Heartbleed
Heartbleed, un coup porté au cœur de la sécurité informatique. // Source : EFF

« Ce problème a fait prendre conscience à beaucoup de gens de l’importance des logiciels libres et open source pour l’intégrité et la fiabilité de l’Internet et d’autres infrastructures », écrit Julia Reda. « Comme beaucoup d’autres organisations, des institutions comme le Parlement européen, le Conseil et la Commission s’appuient sur le logiciel libre pour gérer leurs sites web et bien d’autres choses », ajoute-t-elle.

« Mais Internet n’est pas seulement crucial pour notre économie et notre administration. C’est l’infrastructure qui gère notre vie quotidienne. C’est le moyen que nous utilisons pour récupérer l’information et pour être politiquement actifs », souligne l’élue. C’est pour cela que dès 2014, avec le concours de son collègue Max Andersson, a été lancée l’initiative FOSSA (Free & Open Source Software Audit project).

Initiative démarrée en 2014

Pour le budget 2015 de l’Union européenne, la Commission a accordé une enveloppe d’un million d’euros pour répertorier les logiciels libres que les institutions européennes utilisent et conduire un audit sur la qualité de certains d’entre eux (deux d’entre eux ont bénéficié de ce contrôle : le gestionnaire de mots de passe KeePass et Apache HTTP Server).

L’initiative FOSSA a depuis été prolongée, avec en particulier en 2017 le déblocage d’une enveloppe de 1,9 million d’euros pour d’une part payer des développeurs pour améliorer les logiciels utilisés par les institutions européennes et d’autre part préparer le terrain pour la mise en place de ce fameux programme de chasse aux bugs, dont le principe a été adopté par un grand nombre d’entreprises.

Partager sur les réseaux sociaux