Publicité en cours de chargement...
FOSSA nouvelle saison : l’Europe de plus en plus investie dans la sécurité des logiciels libres
Même si nos SIH français s’appuient sur le schéma Active Directory de Microsoft, et fait que nous disposons en majorité de systèmes d’exploitation Windows, nous n’aurons pas besoin de chercher longtemps pour y trouver des outils libres.
L’Union Européenne ayant pleinement conscience de l’importance du libre dans notre vie numérique à tous, et de l’impact d’une vulnérabilité sur un outil très largement diffusé, continue sa démarche d’amélioration de la sécurité des logiciels libres avec le programme FOSSA.
C’est en 2014, suite à la révélation de la vulnérabilité Heartbleed [1] découverte dans la bibliothèque cryptographique OpenSSL, qu’est né le projet FOSSA (Free and Open Source Software Audit) [2]
Initié par deux membres du Parlement Européen, Julia Reda et Max Andersson, le programme FOSSA a permis d’auditer en 2016, deux outils très largement utilisés, le serveur Web httpd Apache [3] et le gestionnaire de mots de passe KeePass [4].
En 2017, le programme FOSSA a été relancé pour une seconde phase, en changeant légèrement l’approche, tout en conservant le même cap. Plutôt que de missionner des sociétés pour auditer les logiciels, l’UE a ouvert un programme de bug bounty [5], une démarche qui a fait ses preuves et qui est peut être un peu plus en adéquation avec l’esprit du libre (dans le sens où tout le monde peut y participer), offrant une récompense aux personnes qui découvriraient des vulnérabilités dans l’excellent lecteur multimédia VLC.
En ce début d’année, Julia Reda a annoncée le lancement d’une vaste campagne de bounties avec près d’un million de dollars de récompense (851 000€ pour être exact) répartis sur les 15 logiciels open sources suivants :
Filezilla : 58 000,00 €
Apache Kafka : 58 000,00 €
Notepad++ : 71 000,00 €
PuTTY : 90 000,00 €
VLC Media Player : 58 000,00 €
FLUX TL : 34 000,00 €
KeePass : 71 000,00 €
7-zip : 58 000,00 €
Digital Signature Services (DSS) : 25 000,00 €
Drupal : 89 000,00 €
GNU C Library (glibc) : 45 000,00 €
PHP Symfony : 39 000,00 €
Apache Tomcat : 39 000,00 €
WSO2 : 58 000,00 €
midPoint : 58 000,00 €
Quand on pense que les développeurs de tous ces outils n’en tirent pas un centime et que d’aussi importante sommes d’argent pourraient récompenser les personnes qui arriveraient à déceler des vulnérabilités dans des produis gratuits…
C’est en tout cas une démarche avant tout citoyenne que nous pouvons saluer.
[1] https://fr.wikipedia.org/wiki/Heartbleed
Avez-vous apprécié ce contenu ?
A lire également.

Des lignes directrices sur la portée des obligations applicables aux modèles d'IA à usage général (1)
29 juil. 2025 - 11:09,
Actualité
-Le règlement (UE) 2024/1689 (AI Act), entré en vigueur le 1er août 2024, vise à encadrer le développement et l’utilisation de l’intelligence artificielle dans l’Union européenne, en conciliant innovation technologique et protection des droits fondamentaux.

Dernier billet philosohico-cyber avant la plage
21 juil. 2025 - 10:00,
Tribune
-À l’approche des congés d’été, l’heure est à la réflexion — et pas seulement sur la température de l’eau ou le bon dosage de crème solaire. Entre arnaques bancaires de plus en plus sophistiquées, dérives technologiques, illusions cyber-industrielles et lacunes dans la gouvernance publique, ce billet...

Données de santé et intelligence artificielle : la France lance sa stratégie nationale pour accélérer l’innovation en santé
07 juil. 2025 - 23:57,
Actualité
- DSIHLe ministre chargé de la Santé et de l’Accès aux soins, Yannick Neuder, a réuni ce 1er juillet un Comité stratégique exceptionnel pour présenter les premières étapes de la stratégie nationale sur l’intelligence artificielle (IA) et l’utilisation secondaire des données de santé. Objectif : structurer...

Ce qu’il fallait retenir de l’édition 2025 du congrès APSSIS
01 juil. 2025 - 00:00,
Actualité
- DSIHLa 13ᵉ édition du congrès APSSIS, qui s’est tenue en juin 2025, a une nouvelle fois confirmé sa place centrale dans l’écosystème de la cybersécurité en santé. Au fil de trois jours de conférences, de débats et de rencontres, RSSI, DPO, DSI, juristes et institutionnels ont croisé leurs expertises pou...