Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

Bug bounty : Bruxelles confie VLC à l'américain HackerOne, les concurrents français s'inquiètent

Le moment souverain
Internet 4 min
Bug bounty : Bruxelles confie VLC à l'américain HackerOne, les concurrents français s'inquiètent
Crédits : HYWARDS/iStock

La Commission européenne a choisi la plateforme américaine HackerOne pour une recherche de bugs dans VLC. À la clé, un maximum de 60 000 euros et de bons points auprès de l'institution, qui prévoit de dépenser 2,6 millions d'euros dans de futurs audits. Pour les deux plateformes françaises, B0unty Factory et Yogosha, ce choix pose une importante question de souveraineté.

Fin novembre, la Commission européenne a désigné la plateforme américaine de recherche de bugs (bug bounty) HackerOne pour mener une campagne sur le lecteur vidéo VLC. Jusqu'à 60 000 euros pourraient être investis au maximum dans la découverte de failles dans le célèbre logiciel. Jean-Baptiste Kempf, président de Videolan, nous déclare connaître un montant de 30 000 euros pour cette campagne.

Les chercheurs ont jusqu'aux « premières semaines de janvier » pour trouver des problèmes. Les montants vont de 100 à 3 000 euros par vulnérabilité repérée, même si HackerOne exprime ces sommes en dollars. Les problèmes les plus graves, valant au moins 2 000 dollars, doivent mener à de l'exécution de code à distance.

Fin 2016, la première mouture de FOSSA (Free and Open Source Software Auditing) avait permis l'audit du gestionnaire de mots de passe KeePass et du serveur web Apache HTTP, sans trouver de faille critique. Le bug bounty sur VLC s'inscrit dans le programme EU FOSSA 2, destiné à auditer les logiciels open source utilisés par les institutions européennes, pour un budget total de 2,6 millions d'euros.

D'autres appels d'offres sont prévus en 2018 et 2019. En attendant, le choix d'HackerOne par la Commission ne plaît pas à tous, surtout pas aux plateformes françaises, pour lesquelles de tels programmes de sécurité ne devraient pas être ainsi délégués à des acteurs américains.

HackerOne, « le meilleur rapport qualité-prix »

Contactée, la Commission européenne justifie son choix. Parmi les six sociétés qui se sont présentées, « HackerOne a montré le meilleur rapport qualité-prix selon les critères établis par avance et partagés avec tous les participants ». Que ce soit sur la qualité de la recherche, du processus de récompense et des contrôles externes.

Pour l'institution, que VLC soit « scruté par des chercheurs du monde entier, à la recherche de vulnérabilités, améliorera non seulement sa sécurité, mais aussi la sécurité des entreprises européennes s'appuyant sur ce logiciel ».

Dans son communiqué, qu'elle nous a transmis, elle souligne que « cette action préparatoire permet à la Commission d'organiser des bug bounties [visés par le programme EU FOSSA 2]. VLC, une solution open source, est inclus sur chaque poste de travail de la Commission ».

Elle n'a pas encore répondu à des questions supplémentaires, comme le poids de cette première recherche de bugs dans le choix du prestataire des prochaines campagnes. Elle ne nous a pas plus communiqué la liste des logiciels dont l'audit est envisagé.

Les plateformes françaises soucieuses

Trois services européens existent : B0unty Factory, Yogosha et le néerlandais Zerocopter. Malgré la supériorité d'HackerOne sur les critères de l'institution, les deux plateformes de bug bounty françaises voient un problème à ce choix.

« C'est une trahison de la part de l'Europe. C'est un signal dramatique donné à l'écosystème européen et français » lance ainsi Fabrice Epelboin, cofondateur de la plateforme française Yogosha. La jeune pousse (entrée à Station F à son ouverture) n'a pas participé à l'appel d'offres. Elle nous déclare être sous le seuil de chiffre d'affaires réclamé pour 2016, fixé à 60 000 euros par la Commission.

Du côté de YesWeHack, derrière B0unty Factory, on reconnaît avoir soumis une offre à la commission plus élevée qu'HackerOne, pour une communauté revendiquée de 3 000 chercheurs... contre 100 000 pour son homologue américain. Ce critère comptait pour 140 points sur les 1 000 points de l'évaluation de la Commission, selon un document que nous avons consulté.

Il reste que la plateforme lancée début 2016 aurait peu de chances face à un acteur mondial déjà installé. « De toute façon, les GAFA seront les moins chers, ils ont quatre ans d'avance. Il faut ajouter des critères de souverainetés dans les appels d'offres » nous déclare Guillaume Vassault-Houlière, cofondateur de YesWeHack. HackerOne est utilisé par les groupes américains, dont Facebook, Google et Microsoft, pour leurs campagnes de recherches de bugs.

Une question d'indépendance, selon les acteurs français

« Il y a une réflexion de fond à avoir sur les erreurs déjà commises sur la recherche et le cloud. C'est bien de parler de souveraineté, mais il faut aussi s'en donner les moyens, en s'assurant de la diversité, surtout en cybersécurité. N'est-ce pas à la Commission européenne de montrer l'exemple ? » ajoute-t-il.

« Aura-t-on une indépendance et une souveraineté au niveau de la défense ? Très concrètement, les plateformes de bug bounty, ce sont les troupes » pense Epelboin, dont la plateforme vise les grands comptes, avec une communauté de chercheurs triée sur le volet.

Pour Jean-Baptiste Kempf, président de Videolan, en contact avec YesWeHack sur le sujet, la Commission « n'a rien choisi. C'est un test de deux mois qui peut déboucher sur la suite ». Il accueille favorablement l'initiative de l'institution européenne, qui finance un programme dont l'association française ne pourrait s'acquitter. Nous avons contacté Julia Reda, députée européenne impliquée dans le programme FOSSA l'an dernier, sans réponse pour le moment.

60 commentaires
Avatar de empty INpactien
Avatar de emptyempty- 05/12/17 à 15:27:54

Les logiciels de courriels et de traitement de texte ne seraient-ils pas plus fréquemment utilisés ?
Pourquoi vlc ?

Avatar de Gnppn Abonné
Avatar de GnppnGnppn- 05/12/17 à 15:29:11

Comme indiqué, c'est un ballon d'essai pour le programme de bug bounty de la Commission européenne, sur un logiciel dont sont équipés ses postes de travail. VLC semble bien correspondre dans ce cas.

Avatar de jb Abonné
Avatar de jbjb- 05/12/17 à 15:29:44

Pour moi, c'est un test de 30,000 € (pas 60,000€. 60 000€ est le maximum) de 2 mois, pour évaluer les différentes solutions.

Moi, je suis ravi que la commission fasse qqch pour VLC; la plateforme, je dois avouer que c'est secondaire pour moi.

Édité par jb le 05/12/2017 à 15:33
Avatar de jb Abonné
Avatar de jbjb- 05/12/17 à 15:30:52

empty a écrit :

Les logiciels de courriels et de traitement de texte ne seraient-ils pas plus fréquemment utilisés ?
Pourquoi vlc ?

Parce que VLC est arrivé 3ème au programme FOSSA, dont les 2 premiers ont eu une analyse du code, pendant la phase 1. (KeePass et Apache, IIRC)

Avatar de Pierre_ INpactien
Avatar de Pierre_Pierre_- 05/12/17 à 15:30:58

Qu'en pense l’association VideoLAN ? Ont-ils été avertis ? C'est quand même eux qui s'occupent du développement de VLC à ce que je sache, si des failles sont trouvés c'est à eux qu'il faudra le signaler non ?

EDIT : ok c'était le dernier paragraphe je sais pas lire :'(

Édité par Pierre_ le 05/12/2017 à 15:33
Avatar de jb Abonné
Avatar de jbjb- 05/12/17 à 15:33:26

Pierre_ a écrit :

Qu'en pense l’association VideoLAN ? Ont-ils été avertis ? C'est quand même eux qui s'occupent du développement de VLC à ce que je sache, si des failles sont trouvés c'est à eux qu'il faudra le signaler non ?

Bah, j'ai déjà donné mon avis, au-dessus.
Moi, l'important, c'est le retour de bugs; car de toute façon tout notre code est open source.

Nous, on reçoit plein de report de sécurité, et on fixe. Si ça peut avoir plus de gens qui remontent des bugs, c'est parfait.

Avatar de Torlik INpactien
Avatar de TorlikTorlik- 05/12/17 à 15:33:31

Pierre_ a écrit :

Qu'en pense l’association VideoLAN ? Ont-ils été avertis ? C'est quand même eux qui s'occupent du développement de VLC à ce que je sache, si des failles sont trouvés c'est à eux qu'il faudra le signaler non ?

Dernier paragraphe

Avatar de Silly_INpact Abonné
Avatar de Silly_INpactSilly_INpact- 05/12/17 à 15:34:37

Elle nous déclare être sous le seuil de chiffre d'affaires réclamé pour 2016, fixé à 60 000 euros par la Commission.

Parce qu'il y a un seuil minimal de chiffre d'affaire pour postuler? :eeek2: Mais pourquoi?

Avatar de HerrFrance Abonné
Avatar de HerrFranceHerrFrance- 05/12/17 à 15:35:00

Fin de l'article :
  « Pour Jean-Baptiste Kempf, président de Videolan, en contact avec YesWeHack sur le sujet, la Commission « n'a rien choisi. C'est un test de deux mois qui peut déboucher sur la suite
». Il accueille favorablement l'initiative de l'institution européenne,
qui finance un programme dont l'association française ne pourrait
s'acquitter. »

Avatar de Winderly Abonné
Avatar de WinderlyWinderly- 05/12/17 à 15:51:30

Je n'ai pas compris ce passage :
"Les problèmes les plus graves, valant au moins 2 000 dollars, sont de
l'exécution doivent mener à de l'exécution de code à distance."

Il n'est plus possible de commenter cette actualité.
Page 1 / 6
  • Introduction
  • HackerOne, « le meilleur rapport qualité-prix »
  • Les plateformes françaises soucieuses
  • Une question d'indépendance, selon les acteurs français
S'abonner à partir de 3,75 €