FOSSA nouvelle saison : l’Europe de plus en plus investie dans la sécurité des logiciels libres

Même si nos SIH français s’appuient sur le schéma Active Directory de Microsoft, et fait que nous disposons en majorité de systèmes d’exploitation Windows, nous n’aurons pas besoin de chercher longtemps pour y trouver des outils libres.

L’Union Européenne ayant pleinement conscience de l’importance du libre dans notre vie numérique à tous, et de l’impact d’une vulnérabilité sur un outil très largement diffusé, continue sa démarche d’amélioration de la sécurité des logiciels libres avec le programme FOSSA.

C’est en 2014, suite à la révélation de la vulnérabilité Heartbleed [1] découverte dans la bibliothèque cryptographique OpenSSL, qu’est né le projet FOSSA (Free and Open Source Software Audit) [2]

Initié par deux membres du Parlement Européen, Julia Reda et Max Andersson, le programme FOSSA a permis d’auditer en 2016, deux outils très largement utilisés, le serveur Web httpd Apache [3] et le gestionnaire de mots de passe KeePass [4].

En 2017, le programme FOSSA a été relancé pour une seconde phase, en changeant légèrement l’approche, tout en conservant le même cap. Plutôt que de missionner des sociétés pour auditer les logiciels, l’UE a ouvert un programme de bug bounty [5], une démarche qui a fait ses preuves et qui est peut être un peu plus en adéquation avec l’esprit du libre (dans le sens où tout le monde peut y participer), offrant une récompense aux personnes qui découvriraient des vulnérabilités dans l’excellent lecteur multimédia VLC.

En ce début d’année, Julia Reda a annoncée le lancement d’une vaste campagne de bounties avec près d’un million de dollars de récompense (851 000€ pour être exact) répartis sur les 15 logiciels open sources suivants :

Filezilla : 58 000,00 €

Apache Kafka : 58 000,00 €

Notepad++ : 71 000,00 €

PuTTY : 90 000,00 €

VLC Media Player : 58 000,00 €

FLUX TL : 34 000,00 €

KeePass : 71 000,00 €

7-zip : 58 000,00 €

Digital Signature Services (DSS) : 25 000,00 €

Drupal : 89 000,00 €

GNU C Library (glibc) : 45 000,00 €

PHP Symfony : 39 000,00 €

Apache Tomcat : 39 000,00 €

WSO2 : 58 000,00 €

midPoint : 58 000,00 €

Quand on pense que les développeurs de tous ces outils n’en tirent pas un centime et que d’aussi importante sommes d’argent pourraient récompenser les personnes qui arriveraient à déceler des vulnérabilités dans des produis gratuits…

C’est en tout cas une démarche avant tout citoyenne que nous pouvons saluer.

[1] https://fr.wikipedia.org/wiki/Heartbleed

[2] https://juliareda.eu/fossa/

[3] https://www.apache.org/

[4] https://keepass.info/

[5] https://fr.wikipedia.org/wiki/Bug_bounty