Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

VLC au scanner d'un programme de bug bounty soutenu par la Commission européenne
La plateforme HackerOne à l'honneur

Le , par Patrick Ruiz

123PARTAGES

8  0 
La Commission européenne a procédé à l’extension du programme d’audit des logiciels libres et open source (FOSSA) dont les institutions européennes font usage en y incluant une approche bug bounty. Présent sur chaque poste de l’organisation, le lecteur multimédia VLC fait partie des heureux élus de cette première édition de chasse aux bogues. Les hackers avec une expérience sur la plateforme américaine HackerOne seront lancés dans l’arène pour rapporter des vulnérabilités à l’équipe de développement VLC.


De 100 € à 3000 € de récompenses pour un programme de chasse aux bogues auquel le Parlement européen a donné vie en fin d’année dernière en l’adossant au programme FOSSA. À noter que ce dernier bénéficie d’un financement de 1,9 million d’euros pour 2017. L’initiative fait suite aux audits de sécurité l’année précédente du serveur Apache HTTP et de Keepass, un outil open source de génération de mots de passe « forts ». Cette année, place au célèbre lecteur multimédia pour lequel les vulnérabilités sont rapportées dans un premier temps dans le cadre d’un programme privé. Le budget du programme de bug bounty VLC est fixé à 60 000 € et détermine la durée de l’opération qui pourrait courir jusqu’aux aurores du mois de janvier 2018.

VLC en tant que logiciel n’échappe pas aux principes du test dont l’un stipule que l’absence de bogues est une utopie. Dans un contexte fait de cyberattaques à répétition, la moindre faille constitue une aubaine pour des acteurs malveillants. Le mois de mars de cette année a en effet été le théâtre de révélations concernant des opérations d’espionnage s’appuyant sur des logiciels open source. WikiLeaks a mis la CIA à nu pointant l’usage d’anciennes versions du lecteur multimédia par l’Agence pour exfiltrer des informations d’ordinateurs cibles.

Ce programme de bug bounty contribuera à améliorer un logiciel dont la popularité va bien au-delà des sphères de l’UE. Petit regret cependant, celui de ne voir une plateforme de bug bounty européenne organiser ces travaux.

Sources

Site de la Commission de l’UE

HackerOne

Votre avis

Pourquoi ne pas avoir opté pour une plateforme européenne de bug bounty comme Bounty Factory ?

Voir aussi

Le projet Tor offre jusqu'à 4000 $ par faille dans le cadre d'un programme public de bug bounty via la plateforme HackerOne
Bug bounty : après le Pentagone, l'US Air Force invite à son tour les experts en sécurité à tester ses systèmes via la plateforme HackerOne

Une erreur dans cette actualité ? Signalez-le nous !