La Commission européenne lance un nouveau programme de chasse aux bugs dans cinq logiciels libres

La Commission européenne veut mieux diffuser ses logiciels open source


 

Le bâtiment Berlaymont, siège de la Commission européenne à Bruxelles, en juin 2015. Photo: Fred Romero / Wikimedia Commons / CC by

La Commission européenne a annoncé cette semaine lancer un nouveau programme de « bug bounty » pour des logiciels libres. Le programme de primes à la chasse aux bugs, ouvert le 13 janvier sur la plateforme Intigriti, propose des récompenses allant jusqu’à 5.000 euros «pour la recherche de failles de sécurité dans LibreOffice, LEOS, Mastodon, Odoo et CryptPad, des solutions open source utilisées par les services publics dans toute l’Union européenne. Il y a un bonus de 20% pour fournir un correctif de code pour les bogues qu’ils découvrent.»

Un bonus de 20% pour le correctif

Le Bureau du programme Open Source de la Commission européenne (EC OSPO) a au total prévu un budget de 200.000 euros «pour se concentrer à nouveau sur la sécurité des logiciels open source largement utilisés par les services publics».

Un nouvel ensemble de primes de bogues a été lancé le 13 janvier en utilisant la plateforme de primes de bogues Intigriti. Au total, un montant de 200.000 euros a été financé par le Bureau du programme Open Source de la Commission européenne (EC OSPO) pour se concentrer à nouveau sur la sécurité des logiciels open source largement utilisés par les services publics.

«Les chercheurs sont appelés à trouver des failles de sécurité telles que les fuites de données personnelles, l’élévation horizontale/verticale des privilèges [une définition là] et l’injection SQL. La récompense la plus élevée sera de 5.000 euros pour les vulnérabilités exceptionnelles et un bonus de 20% si le correctif est également fourni.»

L’un des critères de sélection des primes était l’utilisation au sein des services publics européens. Outre LibreOffice, Mastodon, Odoo et Cryptpad, qui «remplissaient amplement ce critère et ont donc été retenus», l’OSPO a décidé de sélectionner LEOS, «un éditeur juridique utilisé par la Commission européenne, le Parlement, le Conseil et plusieurs États membres».

70 bugs importants découverts lors du précédent programme

L’échelle des primes proposées est la suivante (voir pour Mastodon par exemple): 250 euros pour un petit bug, 1.000 pour un bug moyen, 2.500 pour une faille importante, 4.000 «critique» et 5.000 si le bug découvert est «exceptionnel».

En 2019, la Commission européenne avait lancé un premier programme de chasse aux bugs pour 15 projets libres, comme Drupal, Keepass, FileZilla et VLC Media Player, avec des primes qui allaient de 25.000 à 90.000 euros.

La Commission a indiqué à la clôture de ce premier programme, mi-2020, avoir versé au total plus de 200.000 euros répartis en 15 primes, pour la découverte de plus de 200 bugs, dont 70 de gravité élevée ou critique. Une vulnérabilité dans l’émulateur de terminal PuTTY était passée inaperçue depuis 20 ans, a souligné l’institution bruxelloise.

Lire aussi

ZD Tech : Bug bounty, payés pour pirater – 11 janvier 2022

Des projets open source à partager pour les services publics européens – 11 janvier 2022

HackerOne héberge le projet Internet Bug Bounty pour sécuriser l’open source – 21 septembre 2021

La
Commission se fixe une boussole numérique pour la prochaine décennie

– 10 mars 2021

L’Union
européenne finance la chasse aux bugs dans 15 logiciels libres
-
30 décembre 2018





Source link

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.