La Commission européenne met en place un programme de chasse aux bugs pour certains logiciels libres que ses services utilisent fortement.

200 000 euros. Tel est le montant que la Commission européenne a amassé dans le cadre d’un programme de chasse aux bugs ciblant certains logiciels libres qui sont très utilisés au sein des services publics de l’Union. Le but : mettre en place des incitations financières pour pousser les spécialistes en sécurité informatique à chercher des failles.

Ce programme, qui a été présenté le 19 janvier et signalé par Next Inpact le 24, se focalise sur cinq logiciels libres particuliers LibreOffice, Mastodon, Odoo, Cryptpad et LEOS. Outre les États membres, les institutions de l’UE (Commission, Parlement et Conseil) sont aussi amenés à se servir de ces cinq programmes, qu’il faut donc sécuriser pour éviter qu’ils ne servent de vecteur d’attaque.

  • LibreOffice est une suite bureautique dérivée d’OpenOffice. Elle est comparable à Microsoft Office, avec des équivalents à Word, Excel, Powerpoint, etc ;
  • Mastodon est un réseau social décentralisé et auto-hébergé, qui permet de faire du micro-blogging, un peu comme Twitter ;
  • Odoo est un outil de gestion intégrée et de relation client avec des modules pour répondre à des besoins divers, notamment commerciaux ;
  • Cryptpad est une solution collaborative chiffrée et sécurisée qui permet à des personnes de travailler ensemble sur un même document ;
  • LEOS est un logiciel qui sert à l’élaboration de la loi.
LibreOffice
LibreOffice est un logiciel libre particulièrement utilisé, y compris au sein du public. // Source : LibreOffice

Les gains pour chaque brèche peuvent atteindre 5 000 euros, avec un bonus de 20 % si un correctif est proposé lors du signalement de la faille. Ces montants peuvent sembler quelque peu modestes par rapport aux sommes bien plus élevées que certaines entreprises privées versent parfois pour sécuriser des logiciels ou des services propriétaires.

Des récompenses à l’ampleur modérée

Du côté de la Silicon Valley, certaines sociétés proposent des récompenses pouvant atteindre des dizaines, voire des centaines de milliers d’euros — on a même vu des groupes offrir, dans certaines circonstances, jusqu’à un million par faille. Mais ces montants exceptionnels concernent des sociétés de type Google, dont les services servent des milliards de personnes.

Les cinq logiciels ciblés par le programme européen ne bénéficient pas d’une telle échelle de récompenses, même si l’on pourrait arguer que des logiciels éligibles, comme LibreOffice, jouissent déjà d’une forte notoriété et sont aussi utilisés par le public. Ce facteur, comme d’autres, influe sur la grille des montants établie par Bruxelles.

Les récompenses apparaissent modestes, surtout face à ce qui est proposé dans le privé

La sécurité des logiciels libres n’est pas un sujet fondamentalement nouveau pour la Commission. En 2014, une enveloppe d’un million d’euros avait été débloquée pour l’audit des logiciels open source utilisés par les institutions européennes. En 2019, un programme semblable avait été lancé pour d’autres logiciels libres (7-Zip, FileZilla, KeePass, Notepad++ et VLC Media Player).

Cette politique mise en place par la Commission et certains programmes de chasse aux bugs montrent indirectement que la seule ouverture du code ne suffit pas à garantir la sécurité et la fiabilité du logiciel libre. Il faut aussi des volontaires et, pour cela, il faut parfois des incitations sonnantes et trébuchantes pour convaincre des spécialistes informatiques de s’y coller.

Plusieurs incidents par le passé ont montré l’enjeu clé du financement de l’open source, que ce soit la faille Heartbleed pour OpenSSL, celle dans le shell Bash, Log4j et d’autres. Le problème apparait se poser toujours aujourd’hui, même si les géants de la tech ont pris davantage leurs responsabilités depuis quelques années. Il y a encore du chemin.