La Commission européenne a choisi la plateforme américaine HackerOne pour une recherche de bugs dans VLC. À la clé, un maximum de 60 000 euros et de bons points auprès de l'institution, qui prévoit de dépenser 2,6 millions d'euros dans de futurs audits. Pour les deux plateformes françaises, B0unty Factory et Yogosha, ce choix pose une importante question de souveraineté.
Fin novembre, la Commission européenne a désigné la plateforme américaine de recherche de bugs (bug bounty) HackerOne pour mener une campagne sur le lecteur vidéo VLC. Jusqu'à 60 000 euros pourraient être investis au maximum dans la découverte de failles dans le célèbre logiciel. Jean-Baptiste Kempf, président de Videolan, nous déclare connaître un montant de 30 000 euros pour cette campagne.
Les chercheurs ont jusqu'aux « premières semaines de janvier » pour trouver des problèmes. Les montants vont de 100 à 3 000 euros par vulnérabilité repérée, même si HackerOne exprime ces sommes en dollars. Les problèmes les plus graves, valant au moins 2 000 dollars, doivent mener à de l'exécution de code à distance.
Fin 2016, la première mouture de FOSSA (Free and Open Source Software Auditing) avait permis l'audit du gestionnaire de mots de passe KeePass et du serveur web Apache HTTP, sans trouver de faille critique. Le bug bounty sur VLC s'inscrit dans le programme EU FOSSA 2, destiné à auditer les logiciels open source utilisés par les institutions européennes, pour un budget total de 2,6 millions d'euros.
D'autres appels d'offres sont prévus en 2018 et 2019. En attendant, le choix d'HackerOne par la Commission ne plaît pas à tous, surtout pas aux plateformes françaises, pour lesquelles de tels programmes de sécurité ne devraient pas être ainsi délégués à des acteurs américains.
HackerOne, « le meilleur rapport qualité-prix »
Contactée, la Commission européenne justifie son choix. Parmi les six sociétés qui se sont présentées, « HackerOne a montré le meilleur rapport qualité-prix selon les critères établis par avance et partagés avec tous les participants ». Que ce soit sur la qualité de la recherche, du processus de récompense et des contrôles externes.
Pour l'institution, que VLC soit « scruté par des chercheurs du monde entier, à la recherche de vulnérabilités, améliorera non seulement sa sécurité, mais aussi la sécurité des entreprises européennes s'appuyant sur ce logiciel ».
Dans son communiqué, qu'elle nous a transmis, elle souligne que « cette action préparatoire permet à la Commission d'organiser des bug bounties [visés par le programme EU FOSSA 2]. VLC, une solution open source, est inclus sur chaque poste de travail de la Commission ».
Elle n'a pas encore répondu à des questions supplémentaires, comme le poids de cette première recherche de bugs dans le choix du prestataire des prochaines campagnes. Elle ne nous a pas plus communiqué la liste des logiciels dont l'audit est envisagé.
Les plateformes françaises soucieuses
Trois services européens existent : B0unty Factory, Yogosha et le néerlandais Zerocopter. Malgré la supériorité d'HackerOne sur les critères de l'institution, les deux plateformes de bug bounty françaises voient un problème à ce choix.
« C'est une trahison de la part de l'Europe. C'est un signal dramatique donné à l'écosystème européen et français » lance ainsi Fabrice Epelboin, cofondateur de la plateforme française Yogosha. La jeune pousse (entrée à Station F à son ouverture) n'a pas participé à l'appel d'offres. Elle nous déclare être sous le seuil de chiffre d'affaires réclamé pour 2016, fixé à 60 000 euros par la Commission.
Du côté de YesWeHack, derrière B0unty Factory, on reconnaît avoir soumis une offre à la commission plus élevée qu'HackerOne, pour une communauté revendiquée de 3 000 chercheurs... contre 100 000 pour son homologue américain. Ce critère comptait pour 140 points sur les 1 000 points de l'évaluation de la Commission, selon un document que nous avons consulté.
Il reste que la plateforme lancée début 2016 aurait peu de chances face à un acteur mondial déjà installé. « De toute façon, les GAFA seront les moins chers, ils ont quatre ans d'avance. Il faut ajouter des critères de souverainetés dans les appels d'offres » nous déclare Guillaume Vassault-Houlière, cofondateur de YesWeHack. HackerOne est utilisé par les groupes américains, dont Facebook, Google et Microsoft, pour leurs campagnes de recherches de bugs.
Une question d'indépendance, selon les acteurs français
« Il y a une réflexion de fond à avoir sur les erreurs déjà commises sur la recherche et le cloud. C'est bien de parler de souveraineté, mais il faut aussi s'en donner les moyens, en s'assurant de la diversité, surtout en cybersécurité. N'est-ce pas à la Commission européenne de montrer l'exemple ? » ajoute-t-il.
« Aura-t-on une indépendance et une souveraineté au niveau de la défense ? Très concrètement, les plateformes de bug bounty, ce sont les troupes » pense Epelboin, dont la plateforme vise les grands comptes, avec une communauté de chercheurs triée sur le volet.
Pour Jean-Baptiste Kempf, président de Videolan, en contact avec YesWeHack sur le sujet, la Commission « n'a rien choisi. C'est un test de deux mois qui peut déboucher sur la suite ». Il accueille favorablement l'initiative de l'institution européenne, qui finance un programme dont l'association française ne pourrait s'acquitter. Nous avons contacté Julia Reda, députée européenne impliquée dans le programme FOSSA l'an dernier, sans réponse pour le moment.