L'UE veut lancer, dès janvier 2019, une chasse aux bogues dans les logiciels libres à code source ouvert
Pour renforcer la sécurité sur Internet

Le , par Bill Fassinou

188PARTAGES

17  0 
L’Union européenne compte lancer dans le mois prochain, une chasse aux bogues avec des plateformes de Bug Bounty telles que HackerOne ou Intigriti. L’UE a émis 14 primes de bogues sur des projets liés au logiciels libres sur lesquels les institutions au sein de l’Union s’appuient pour effectuer leurs diverses activités. Ces plateformes se présentent pour la plupart comme étant des regroupements de “hackers éthiques” ou plateformes de sécurité optimisées par les pirates. Elles proposent aux entreprises de tester et sécuriser les applications qu’elles utilisent dans leurs tâches quotidiennes et sont donc fréquemment sollicitées par les entreprises dans ce sens.

Depuis quelques années déjà, beaucoup d’entreprises sont dans cette dynamique. Elle développent leurs solutions et se payent les services de ces plateformes à travers des programmes de Bug Bounty pour apporter une certaine sécurité dans leurs différents logiciels informatiques. En février dernier, Intel s’était appuyé sur HackerOne pour tenter de sauver sa face avec un programme de Bug Bounty primant jusqu'à 250 000 dollars pour éviter un nouveau Meltdown après celui de Janvier 2018. Un Meltdown est une vulnérabilité matérielle touchant principalement les microprocesseurs Intel x86 rendu public en janvier 2018 et qui permet à un processus non autorisé d’avoir un accès privilégié à la mémoire.


Intel avait ouvert son matériel, son Firmware et ses logiciels pour l’occasion. Tout chercheur en sécurité possédant un compte HackerOne pouvait rechercher une liste de bogues dans les produits Intel tels que les processeurs, le code du chipset, les SSD, les cartes mères, les cartes réseau et leurs microprogrammes, mais aussi les pilotes et applications pour les différents systèmes d’exploitation. L’Union européenne veut faire de même déjà le 8 janvier 2019 prochain avec le lancement des primes de bogues FOSSA. Le projet FOSSA ( Free et Open Source Software Audit) du parlement européen est un projet initié courant 2014 dans le but d’améliorer la sécurité des logiciels libres ou la sécurité globale d'Internet au sein de l’Union européenne, ceci après la découverte de plusieurs vulnérabilités graves dans des composants d'infrastructure clés tels que OpenSSL.

Rappelons qu’une prime aux bogues est un prix pour les personnes qui recherchent activement des problèmes de sécurité. Le montant de la prime dépend de la gravité du problème découvert et de l'importance relative du logiciel. Depuis le lancement de FOSSA, les résultats se multiplient. Selon le site personnel de Julia Reda, l'idée est que les audits ne suffisent pas, à eux seuls, à accroître la sécurité. Julia Reda est une femme politique allemande et ancienne présidente des jeunes pirates européens, elle est députée européenne depuis 2014. Il faut, écrit-elle, aborder la sécurité déjà dans le développement logiciel.

Après les primes de bogues, ont eu lieu plusieurs hackathons permettant aux développeurs des projets et des institutions européennes qui dépendent de leurs logiciels de se rencontrer. Cette fois-ci, l’UE avec les primes de bogue FOSSA, le parlement fournit une liste de logiciels et les primes de bogues associées. L’UE invitent donc toutes personnes du domaine de la sécurité à contribuer aux différents projets, analyser les logiciels et soumettre s’il y a lieu les bogues ou les vulnérabilités détectés aux plateformes concernées. Voici ci-dessous la liste des logiciels concernés :

Source : Billet de blog

Et vous ?

Qu'en pensez-vous ?

Voir aussi

Intel tente de sauver la face avec un programme de Bug Bounty primant jusqu'à 250 000 dollars afin d'éviter un nouvel épisode Meltdown

Est-on en sécurité sur Internet ? Le réseau serait la « Gestapo des temps modernes », pour un ancien du département américain de la défense

Conseil de sécurité des Nations Unies pour l'internet : les organisateurs se rétractent, il n'y aura plus de siège permanent pour ceux-ci

Internet aurait de sérieux problèmes à cause de langages comme C et C++ favorisant la survenue de failles mais peu de développeurs s'en soucieraient

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de bcag2
Membre habitué https://www.developpez.com
Le 02/01/2019 à 10:03
"Logiciel libre à code ouvert"
désolé mais celle-là, elle est belle.
J'invite son auteur à prendre connaissance de ce qu'est le logiciel libre:
https://fr.wikipedia.org/wiki/Logiciel_libre
Avatar de Ryu2000
Membre extrêmement actif https://www.developpez.com
Le 02/01/2019 à 10:22
Citation Envoyé par bcag2 Voir le message
J'invite son auteur à prendre connaissance de ce qu'est le logiciel libre:
https://fr.wikipedia.org/wiki/Logiciel_libre
Dans l'article il y a écrit qu'il ne faut pas confondre Logiciel Libre avec Open Source :
Le logiciel libre est souvent confondu à tort avec :
  • les gratuiciels (freewares) : un gratuiciel est un logiciel gratuit propriétaire, alors qu'un logiciel libre se définit par les libertés accordées à l'utilisateur. Si la nature du logiciel libre facilite et encourage son partage, ce qui tend à le rendre gratuit, elle ne s'oppose pas pour autant à sa rentabilité principalement via des services associés. Les rémunérations sont liées par exemple aux travaux de création, de développement, de mise à disposition et de soutien technique. D'un autre côté les logiciels gratuits ne sont pas nécessairement libres, car leur code source n'est pas systématiquement accessible, et leur licence peut ne pas correspondre à la définition du logiciel libre.
  • l’open source : le logiciel libre, selon son initiateur, est un mouvement social qui repose sur les principes de Liberté, Égalité, Fraternité ; l’open source quant à lui, décrit pour la première fois dans La Cathédrale et le Bazar, s'attache aux avantages d'une méthode de développement au travers de la réutilisation du code source.
Donc en théorie on peut faire du libre non open source ?
Logiciel libre et open source : les deux concepts sont parfois utilisés de manière interchangeable mais quelle est la différence ?
Citation Envoyé par Michael Guilloux Voir le message
Différence fondamentale entre logiciel libre et open source

Qu’il s’agisse de logiciel libre ou open source, les critères de qualification définis visent à donner plus de libertés aux utilisateurs. Il est donc facile de les distinguer des logiciels propriétaires. Toutefois, ce n’est pas du tout évident de faire la différence entre logiciel libre et open source. Selon Richard Stallman, la différence fondamentale entre les deux concepts réside dans leur philosophie : « l'open source est une méthodologie de développement; le logiciel libre est un mouvement social ».
Avatar de Mimoza
Membre averti https://www.developpez.com
Le 02/01/2019 à 12:04
On peut faire de l'OpenSource sans faire du libre mais pas l'inverse …
OpenSource = Les sources sont consultable, mais pas forcément modifiable/redistribuable
Logiciel Libre = Les sources sont consultable, modifiable & redistribubale

Donc
Logiciel Libre > OpenSource
Avatar de Bigb
Membre averti https://www.developpez.com
Le 09/01/2019 à 16:02
Une excellente initiative de la part de l'UE, franchement on ne peut pas laisser des milliers d'utilisateurs de logiciels sans essayer de renforcer un minimum la sécurité. Hate que cette chasse s'étende à plus de logiciels !
Avatar de mith06
Membre éclairé https://www.developpez.com
Le 29/01/2019 à 8:49
Ils ont cas faire une loi qui interdit les Bugs....
Comme ça il n' y en aura plus.
Contacter le responsable de la rubrique Accueil

Partenaire : Hébergement Web