La Commission a réuni 200 000 euros pour lancer un programme de « bug bounty », autrement dit de chasse aux bugs. Objectif, payer celles et ceux qui signaleront des failles de sécurité dans une sélection de projets.
LibreOffice, Mastodon, Odoo, Cryptpad et LEOS sont ainsi dans l’œil de la Commission, pour une raison simple : ils sont utilisés dans une ou plusieurs institutions européennes (Commission, Parlement et Conseil) et par des États membres.
Elle souhaite donc s’assurer que ces logiciels essentiels soient aussi auscultés que possible. Géré par l’Open Source Programme Office, le fonds ira récompenser d’un maximum de 5 000 euros les personnes ayant signalé d’importantes failles, majorées de 20 % si un correctif est fourni.
Ce programme s’inscrit dans une initiative plus large sur l’open source dans la période 2020-2023, qui vise plusieurs objectifs : améliorer l’offre logicielle, promouvoir des initiatives européennes, réviser les pratiques, pousser l’innovation, développer les compétences, renforcer la sécurité, etc.
On est cependant un peu surpris par le montant maximal de la prime, car 5 000 euros sont bien peu dans ce domaine. Le découvreur d’une faille pourrait la vendre au plus offrant.
Et pas besoin d’évoquer le dark web et autres sombres personnages : le marché gris des failles de sécurité est une activité commerciale « comme les autres ». Des sociétés comme Zerodium achètent – parfois à prix d’or – des brèches pour en faire profiter leurs clients, quels qu’ils soient.
Dans les programmes de chasse aux bugs, les montants des primes doivent donc être incitatifs pour motiver les personnes concernées à venir confier leurs découvertes. En particulier quand il s’agit de solutions utilisées dans des institutions publiques.
À titre d’exemple, Apple avait lancé son programme en 2016, avec des récompenses pouvant grimper jusqu’à 200 000 dollars. La somme avait été jugée un peu faible à l’époque. En 2019, la société avait révisé sa grille, incluant macOS et offrant jusqu’à un million de dollars.
