Publicité en cours de chargement...

Publicité en cours de chargement...

FOSSA nouvelle saison : l’Europe de plus en plus investie dans la sécurité des logiciels libres

12 fév. 2019 - 10:14,
Tribune - Charles Blanc-Rolin
Le libre est partout, et c’est tant mieux pour nous. Parfois, sans même le savoir, vous utilisez des outils libres, directement ou indirectement avec des produits commerciaux s’appuyant sur des logiciels ou des librairies libres. Des outils gratuits et qui, pour la plupart, ne siphonnent pas nos ordinateurs à la recherche de données à revendre

Même si nos SIH français s’appuient sur le schéma Active Directory de Microsoft, et fait que nous disposons en majorité de systèmes d’exploitation Windows, nous n’aurons pas besoin de chercher longtemps pour y trouver des outils libres.

L’Union Européenne ayant pleinement conscience de l’importance du libre dans notre vie numérique à tous, et de l’impact d’une vulnérabilité sur un outil très largement diffusé, continue sa démarche d’amélioration de la sécurité des logiciels libres avec le programme FOSSA.

C’est en 2014, suite à la révélation de la vulnérabilité Heartbleed [1] découverte dans la bibliothèque cryptographique OpenSSL, qu’est né le projet FOSSA (Free and Open Source Software Audit) [2]

Initié par deux membres du Parlement Européen, Julia Reda et Max Andersson, le programme FOSSA a permis d’auditer en 2016, deux outils très largement utilisés, le serveur Web httpd Apache [3] et le gestionnaire de mots de passe KeePass [4].

En 2017, le programme FOSSA a été relancé pour une seconde phase, en changeant légèrement l’approche, tout en conservant le même cap. Plutôt que de missionner des sociétés pour auditer les logiciels, l’UE a ouvert un programme de bug bounty [5], une démarche qui a fait ses preuves et qui est peut être un peu plus en adéquation avec l’esprit du libre (dans le sens où tout le monde peut y participer), offrant une récompense aux personnes qui découvriraient des vulnérabilités dans l’excellent lecteur multimédia VLC.

En ce début d’année, Julia Reda a annoncée le lancement d’une vaste campagne de bounties avec près d’un million de dollars de récompense (851 000€ pour être exact) répartis sur les 15 logiciels open sources suivants :

Filezilla : 58 000,00 €

Apache Kafka : 58 000,00 €

Notepad++ : 71 000,00 €

PuTTY : 90 000,00 €

VLC Media Player : 58 000,00 €

FLUX TL : 34 000,00 €

KeePass : 71 000,00 €

7-zip : 58 000,00 €

Digital Signature Services (DSS) : 25 000,00 €

Drupal : 89 000,00 €

GNU C Library (glibc) : 45 000,00 €

PHP Symfony : 39 000,00 €

Apache Tomcat : 39 000,00 €

WSO2 : 58 000,00 €

midPoint : 58 000,00 €

Quand on pense que les développeurs de tous ces outils n’en tirent pas un centime et que d’aussi importante sommes d’argent pourraient récompenser les personnes qui arriveraient à déceler des vulnérabilités dans des produis gratuits…

C’est en tout cas une démarche avant tout citoyenne que nous pouvons saluer.


[1] https://fr.wikipedia.org/wiki/Heartbleed

[2] https://juliareda.eu/fossa/

[3] https://www.apache.org/

[4] https://keepass.info/

[5] https://fr.wikipedia.org/wiki/Bug_bounty

Avez-vous apprécié ce contenu ?

A lire également.

Illustration Des lignes directrices sur la portée des obligations applicables aux modèles d'IA à usage général (1)

Des lignes directrices sur la portée des obligations applicables aux modèles d'IA à usage général (1)

29 juil. 2025 - 11:09,

Actualité

-
Marguerite Brac de La Perrière

Le règlement (UE) 2024/1689 (AI Act), entré en vigueur le 1er août 2024, vise à encadrer le développement et l’utilisation de l’intelligence artificielle dans l’Union européenne, en conciliant innovation technologique et protection des droits fondamentaux.

Illustration Dernier billet philosohico-cyber avant la plage

Dernier billet philosohico-cyber avant la plage

21 juil. 2025 - 10:00,

Tribune

-
Cédric Cartau

À l’approche des congés d’été, l’heure est à la réflexion — et pas seulement sur la température de l’eau ou le bon dosage de crème solaire. Entre arnaques bancaires de plus en plus sophistiquées, dérives technologiques, illusions cyber-industrielles et lacunes dans la gouvernance publique, ce billet...

Illustration Données de santé et intelligence artificielle : la France lance sa stratégie nationale pour accélérer l’innovation en santé

Données de santé et intelligence artificielle : la France lance sa stratégie nationale pour accélérer l’innovation en santé

07 juil. 2025 - 23:57,

Actualité

- DSIH

Le ministre chargé de la Santé et de l’Accès aux soins, Yannick Neuder, a réuni ce 1er juillet un Comité stratégique exceptionnel pour présenter les premières étapes de la stratégie nationale sur l’intelligence artificielle (IA) et l’utilisation secondaire des données de santé. Objectif : structurer...

Illustration Ce qu’il fallait retenir de l’édition 2025 du congrès APSSIS

Ce qu’il fallait retenir de l’édition 2025 du congrès APSSIS

01 juil. 2025 - 00:00,

Actualité

- DSIH

La 13ᵉ édition du congrès APSSIS, qui s’est tenue en juin 2025, a une nouvelle fois confirmé sa place centrale dans l’écosystème de la cybersécurité en santé. Au fil de trois jours de conférences, de débats et de rencontres, RSSI, DPO, DSI, juristes et institutionnels ont croisé leurs expertises pou...

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.