200 000 euros. Tel est le montant que la Commission européenne a amassé dans le cadre d’un programme de chasse aux bugs ciblant certains logiciels libres qui sont très utilisés au sein des services publics de l’Union. Le but : mettre en place des incitations financières pour pousser les spécialistes en sécurité informatique à chercher des failles.
Ce programme, qui a été présenté le 19 janvier et signalé par Next Inpact le 24, se focalise sur cinq logiciels libres particuliers LibreOffice, Mastodon, Odoo, Cryptpad et LEOS. Outre les États membres, les institutions de l’UE (Commission, Parlement et Conseil) sont aussi amenés à se servir de ces cinq programmes, qu’il faut donc sécuriser pour éviter qu’ils ne servent de vecteur d’attaque.
- LibreOffice est une suite bureautique dérivée d’OpenOffice. Elle est comparable à Microsoft Office, avec des équivalents à Word, Excel, Powerpoint, etc ;
- Mastodon est un réseau social décentralisé et auto-hébergé, qui permet de faire du micro-blogging, un peu comme Twitter ;
- Odoo est un outil de gestion intégrée et de relation client avec des modules pour répondre à des besoins divers, notamment commerciaux ;
- Cryptpad est une solution collaborative chiffrée et sécurisée qui permet à des personnes de travailler ensemble sur un même document ;
- LEOS est un logiciel qui sert à l’élaboration de la loi.
Les gains pour chaque brèche peuvent atteindre 5 000 euros, avec un bonus de 20 % si un correctif est proposé lors du signalement de la faille. Ces montants peuvent sembler quelque peu modestes par rapport aux sommes bien plus élevées que certaines entreprises privées versent parfois pour sécuriser des logiciels ou des services propriétaires.
Des récompenses à l’ampleur modérée
Du côté de la Silicon Valley, certaines sociétés proposent des récompenses pouvant atteindre des dizaines, voire des centaines de milliers d’euros — on a même vu des groupes offrir, dans certaines circonstances, jusqu’à un million par faille. Mais ces montants exceptionnels concernent des sociétés de type Google, dont les services servent des milliards de personnes.
Les cinq logiciels ciblés par le programme européen ne bénéficient pas d’une telle échelle de récompenses, même si l’on pourrait arguer que des logiciels éligibles, comme LibreOffice, jouissent déjà d’une forte notoriété et sont aussi utilisés par le public. Ce facteur, comme d’autres, influe sur la grille des montants établie par Bruxelles.
La sécurité des logiciels libres n’est pas un sujet fondamentalement nouveau pour la Commission. En 2014, une enveloppe d’un million d’euros avait été débloquée pour l’audit des logiciels open source utilisés par les institutions européennes. En 2019, un programme semblable avait été lancé pour d’autres logiciels libres (7-Zip, FileZilla, KeePass, Notepad++ et VLC Media Player).
Cette politique mise en place par la Commission et certains programmes de chasse aux bugs montrent indirectement que la seule ouverture du code ne suffit pas à garantir la sécurité et la fiabilité du logiciel libre. Il faut aussi des volontaires et, pour cela, il faut parfois des incitations sonnantes et trébuchantes pour convaincre des spécialistes informatiques de s’y coller.
Plusieurs incidents par le passé ont montré l’enjeu clé du financement de l’open source, que ce soit la faille Heartbleed pour OpenSSL, celle dans le shell Bash, Log4j et d’autres. Le problème apparait se poser toujours aujourd’hui, même si les géants de la tech ont pris davantage leurs responsabilités depuis quelques années. Il y a encore du chemin.
+ rapide, + pratique, + exclusif
Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.
Découvrez les nombreux avantages de Numerama+.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.