EU-FOSSA,ou European Union Free and Open Source Software Auditing, est un projet initié par les eurodéputés Max Anderson et Julia Reda — après la découverte de la faille de sécurité Heartbleed et porté par la Commission européenne depuis 2015. En 2017, le projet a été reconduit pour trois ans sous le nom de EU-FOSSA 2 et, après un premier Bug Bounty en novembre 2017, une prime pour la détection de failles de sécurité pour le lecteur média libre VLC, la Commission a annoncé en janvier 2019 quinze nouvelles primes pour des logiciels libres utilisés par les institutions européennes.
Julia Reda explique fort bien les fondements et les buts de cette action européenne…
L’eurodéputée Julia Reda rappelle sur son site, en anglais, l’enjeu et l’historique de ce projet :
« Le problème a fait que de nombreuses personnes ont pris conscience de l’importance des logiciels libres dans l’intégrité et la fiabilité d’Internet et d’autres infrastructures. Comme beaucoup d’autres organisations, des institutions comme le Parlement européen, le Conseil ou la Commission se basent sur des logiciels libres pour faire tourner leur site Web et bien d’autres choses. Mais l’Internet n’est pas seulement crucial pour notre économie et notre administration. C’est l’infrastructure sur laquelle repose notre vie de tous les jours. C’est le moyen par lequel nous récupérons de l’information et par lequel nous sommes politiquement actifs. »
Elle liste également les projets libres concernés, les plates‐formes de signalement, la période de « chasse à la prime » et le montant des récompenses disponibles. Certaines primes sont ouvertes jusqu’à la fin juillet 2019, pour Keepass par exemple, ou d’autres, comme Drupal, le sont jusqu’à octobre 2020.
« Un “Bug bounty” est une prime pour les personnes qui recherchent activement des failles de sécurité. Le montant de la prime dépend de la sévérité de la faille découverte et de l’importance relative du logiciel. […] Vous pouvez contribuer aux projets ci‐dessous [voir la liste] en analysant les logiciels et en soumettant les bogues ou vulnérabilités que vous trouvez dans les plates‐formes concernées. »
Initiative à saluer par laquelle une personne publique agit pleinement dans sa mission de service public en participant, ici par le biais de primes, à la sécurité informatique de logiciels qui ont un rôle déterminant dans l’infrastructure globale d’Internet, et qui sont librement utilisables et réutilisables par toutes et tous. Un projet qui gagnerait, comme le recommande l’eurodéputée à être pérennisé dans le budget de l’Union européenne.
Aller plus loin
- Site officiel du projet EU-FOSSA 2 (189 clics)
- Billet sur le site de Julia Reda (tableau des primes) (143 clics)
- Page dédiée au projet sur le site de Julia Reda (78 clics)
# Bien mais
Posté par voxdemonix . Évalué à 3. Dernière modification le 25 janvier 2019 à 13:21.
ils auraient pu passer par une plateforme européenne plus tôt que d'envoyer de l'argent publique chez des étrangers (hackerone = usa).
C'est dommage aussi de n'y voir aucune solution de cloud (ni nextcloud, ni cozy), malgré l'importance que prend ce secteur en europe.
[^] # Re: Bien mais
Posté par voxdemonix . Évalué à 3.
Petite rectification, le projet utilise deux plateformes : HackerOne (usa) et Intigriti.com (belge mais hélas hébergé chez google pour le moment)
[^] # Re: Bien mais
Posté par carabao (site web personnel) . Évalué à 2.
Si vous voulez, version française pour le lien: https://kbopub.economie.fgov.be/kbopub/zoeknummerform.html?lang=fr&nummer=0660.623.646&actionLu=Recherche
# Nota Bene
Posté par EUnity . Évalué à 1. Dernière modification le 28 janvier 2019 à 15:41.
Bonjour,
Superbe initiative de l'EU, cependant il y a un oubli : une troisième plateforme et notamment française a remporté l'appel d'offre FOSSA2.
Il s'agit d'un consortium YesWeHack+DigitalSecurity (belle union de références :)
http://www.globalsecuritymag.fr/Commission-Europeenne-Digital,20190110,83438.html
Gageons que la Commission saura adresser ce marché en priorité aux entreprises européennes et pour le coup soumises aux lois européennes en matière de divulgation de failles informatiques. Car aux US ce sont bien les agences fédérales qui ont tous les droits y compris d'avoir connaissance des failles trouvés et rapportées sur les plateformes de bug bounty US que ces dernières soient d'accord ou pas :|
In bugs we trust !
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.