LibreOffice, Mastodon : l’UE offre 200 000 € pour sécuriser certains logiciels libres
200 000 euros.
Ce programme, qui a été présenté le 19 janvier et signalé par Next Inpact le 24, se focalise sur cinq logiciels libres particuliers LibreOffice, Mastodon, Odoo, Cryptpad et LEOS. Outre les États membres, les institutions de l'UE (Commission, Parlement et Conseil) sont aussi amenés à se servir de ces cinq programmes, qu'il faut donc sécuriser pour éviter qu'ils ne servent de vecteur d'attaque.
LibreOffice est une suite bureautique dérivée d'OpenOffice. Elle est comparable à Microsoft Office, avec des équivalents à Word, Excel, Powerpoint, etc ;
Mastodon est un réseau social décentralisé et auto-hébergé, qui permet de faire du micro-blogging, un peu comme Twitter ;
Odoo est un outil de gestion intégrée et de relation client avec des modules pour répondre à des besoins divers, notamment commerciaux ;
Cryptpad est une solution collaborative chiffrée et sécurisée qui permet à des personnes de travailler ensemble sur un même document ;
LEOS est un logiciel qui sert à l’élaboration de la loi.
Les gains pour chaque brèche peuvent atteindre 5 000 euros, avec un bonus de 20 % si un correctif est proposé lors du signalement de la faille. Ces montants peuvent sembler quelque peu modestes par rapport aux sommes bien plus élevées que certaines entreprises privées versent parfois pour sécuriser des logiciels ou des services propriétaires.
Des récompenses à l'ampleur modérée
Du côté de la Silicon Valley, certaines sociétés proposent des récompenses pouvant atteindre des dizaines, voire des centaines de milliers d'euros -- on a même vu des groupes offrir, dans certaines circonstances, jusqu'à un million par faille. Mais ces montants exceptionnels concernent des sociétés de type Google, dont les services servent des milliards de personnes.
Les cinq logiciels ciblés par le programme européen ne bénéficient pas d'une telle échelle de récompenses, même si l'on pourrait arguer que des logiciels éligibles, comme LibreOffice, jouissent déjà d'une forte notoriété et sont aussi utilisés par le public. Ce facteur, comme d'autres, influe sur la grille des montants établie par Bruxelles.
Les récompenses apparaissent modestes, surtout face à ce qui est proposé dans le privé
La sécurité des logiciels libres n'est pas un sujet fondamentalement nouveau pour la Commission. En 2014, une enveloppe d'un million d'euros avait été débloquée pour l'audit des logiciels open source utilisés par les institutions européennes. En 2019, un programme semblable avait été lancé pour d'autres logiciels libres (7-Zip, FileZilla, KeePass, Notepad++ et VLC Media Player).
Cette politique mise en place par la Commission et certains programmes de chasse aux bugs montrent indirectement que la seule ouverture du code ne suffit pas à garantir la sécurité et la fiabilité du logiciel libre. Il faut aussi des volontaires et, pour cela, il faut parfois des incitations sonnantes et trébuchantes pour convaincre des spécialistes informatiques de s'y coller.
Plusieurs incidents par le passé ont montré l'enjeu clé du financement de l'open source, que ce soit la faille Heartbleed pour OpenSSL, celle dans le shell Bash, Log4j et d'autres. Le problème apparait se poser toujours aujourd'hui, même si les géants de la tech ont pris davantage leurs responsabilités depuis quelques années. Il y a encore du chemin.