La Commission européenne a choisi la plateforme américaine HackerOne pour une recherche de bugs dans VLC. À la clé, un maximum de 60 000 euros et de bons points auprès de l'institution, qui prévoit de dépenser 2,6 millions d'euros dans de futurs audits. Pour les deux plateformes françaises, B0unty Factory et Yogosha, ce choix pose une importante question de souveraineté.
Fin novembre, la Commission européenne a désigné la plateforme américaine de recherche de bugs (bug bounty) HackerOne pour mener une campagne sur le lecteur vidéo VLC. Jusqu'à 60 000 euros pourraient être investis au maximum dans la découverte de failles dans le célèbre logiciel. Jean-Baptiste Kempf, président de Videolan, nous déclare connaître un montant de 30 000 euros pour cette campagne.
Les chercheurs ont jusqu'aux « premières semaines de janvier » pour trouver des problèmes. Les montants vont de 100 à 3 000 euros par vulnérabilité repérée, même si HackerOne exprime ces sommes en dollars. Les problèmes les plus graves, valant au moins 2 000 dollars, doivent mener à de l'exécution de code à distance.
Fin 2016, la première mouture de FOSSA (Free and Open Source Software Auditing) avait permis l'audit du gestionnaire de mots de passe KeePass et du serveur web Apache HTTP, sans trouver de faille critique. Le bug bounty sur VLC s'inscrit dans le programme EU FOSSA 2, destiné à auditer les logiciels open source utilisés par les institutions européennes, pour un budget total de 2,6 millions d'euros.
D'autres appels d'offres sont prévus en 2018 et 2019. En attendant, le choix d'HackerOne par la Commission ne plaît pas à tous, surtout pas aux plateformes françaises, pour lesquelles de tels programmes de sécurité ne devraient pas être ainsi délégués à des acteurs américains.
HackerOne, « le meilleur rapport qualité-prix »
Contactée, la Commission européenne justifie son choix. Parmi les six sociétés qui se sont présentées, « HackerOne a montré le meilleur rapport qualité-prix selon les critères établis par avance et partagés avec tous les participants ». Que ce soit sur la qualité de la recherche, du processus de récompense et des contrôles externes.
Pour l'institution, que VLC soit « scruté par des chercheurs du monde entier, à la recherche de vulnérabilités, améliorera non seulement sa sécurité, mais aussi la sécurité des entreprises européennes s'appuyant sur ce logiciel ».
Dans son communiqué, qu'elle nous a transmis, elle souligne que « cette action préparatoire permet à la Commission d'organiser des bug bounties [visés par le programme EU FOSSA 2]. VLC, une solution open source, est inclus sur chaque poste de travail de la Commission ».
Elle n'a pas encore répondu à des questions supplémentaires, comme le poids de cette première recherche de bugs dans le choix du prestataire des prochaines campagnes. Elle ne nous a pas plus communiqué la liste des logiciels dont l'audit est envisagé.
Les plateformes françaises soucieuses
Trois services européens existent : B0unty Factory, Yogosha et le néerlandais Zerocopter. Malgré la supériorité d'HackerOne sur les critères de l'institution, les deux plateformes de bug bounty françaises voient un problème à ce choix.
« C'est une trahison de la part de l'Europe. C'est un signal dramatique donné à l'écosystème européen et français » lance ainsi Fabrice Epelboin, cofondateur de la plateforme française Yogosha. La jeune pousse (entrée à Station F à son ouverture) n'a pas participé à l'appel d'offres. Elle nous déclare être sous le seuil de chiffre d'affaires réclamé pour 2016, fixé à 60 000 euros par la Commission.
Du côté de YesWeHack, derrière B0unty Factory, on reconnaît avoir soumis une offre à la commission plus élevée qu'HackerOne, pour une communauté revendiquée de 3 000 chercheurs... contre 100 000 pour son homologue américain. Ce critère comptait pour 140 points sur les 1 000 points de l'évaluation de la Commission, selon un document que nous avons consulté.
Il reste que la plateforme lancée début 2016 aurait peu de chances face à un acteur mondial déjà installé. « De toute façon, les GAFA seront les moins chers, ils ont quatre ans d'avance. Il faut ajouter des critères de souverainetés dans les appels d'offres » nous déclare Guillaume Vassault-Houlière, cofondateur de YesWeHack. HackerOne est utilisé par les groupes américains, dont Facebook, Google et Microsoft, pour leurs campagnes de recherches de bugs.
Une question d'indépendance, selon les acteurs français
« Il y a une réflexion de fond à avoir sur les erreurs déjà commises sur la recherche et le cloud. C'est bien de parler de souveraineté, mais il faut aussi s'en donner les moyens, en s'assurant de la diversité, surtout en cybersécurité. N'est-ce pas à la Commission européenne de montrer l'exemple ? » ajoute-t-il.
« Aura-t-on une indépendance et une souveraineté au niveau de la défense ? Très concrètement, les plateformes de bug bounty, ce sont les troupes » pense Epelboin, dont la plateforme vise les grands comptes, avec une communauté de chercheurs triée sur le volet.
Pour Jean-Baptiste Kempf, président de Videolan, en contact avec YesWeHack sur le sujet, la Commission « n'a rien choisi. C'est un test de deux mois qui peut déboucher sur la suite ». Il accueille favorablement l'initiative de l'institution européenne, qui finance un programme dont l'association française ne pourrait s'acquitter. Nous avons contacté Julia Reda, députée européenne impliquée dans le programme FOSSA l'an dernier, sans réponse pour le moment.
Commentaires (60)
#1
Les logiciels de courriels et de traitement de texte ne seraient-ils pas plus fréquemment utilisés ?
Pourquoi vlc ?
#2
Comme indiqué, c’est un ballon d’essai pour le programme de bug bounty de la Commission européenne, sur un logiciel dont sont équipés ses postes de travail. VLC semble bien correspondre dans ce cas.
#3
Pour moi, c’est un test de 30,000 € (pas 60,000€. 60 000€ est le maximum) de 2 mois, pour évaluer les différentes solutions.
Moi, je suis ravi que la commission fasse qqch pour VLC; la plateforme, je dois avouer que c’est secondaire pour moi.
#4
#5
Qu’en pense l’association VideoLAN ? Ont-ils été avertis ? C’est quand même eux qui s’occupent du développement de VLC à ce que je sache, si des failles sont trouvés c’est à eux qu’il faudra le signaler non ?
EDIT : ok c’était le dernier paragraphe je sais pas lire :‘(
#6
#7
#8
Elle nous déclare être sous le seuil de chiffre d’affaires réclamé pour 2016, fixé à 60 000 euros par la Commission.
Parce qu’il y a un seuil minimal de chiffre d’affaire pour postuler?
#9
Fin de l’article :
« Pour Jean-Baptiste Kempf, président de Videolan, en contact avec YesWeHack sur le sujet, la Commission « n’a rien choisi. C’est un test de deux mois qui peut déboucher sur la suite
». Il accueille favorablement l’initiative de l’institution européenne,
qui finance un programme dont l’association française ne pourrait
s’acquitter. »
#10
Je n’ai pas compris ce passage :
“Les problèmes les plus graves, valant au moins 2 000 dollars, sont de
l’exécution doivent mener à de l’exécution de code à distance.”
#11
Et bien c’est les joies de la libre concurrence les gars, vous avez joué et vous avez perdu, si vous vouliez des critères de souveraineté du protectionnisme il ne faut pas s’adresser à Bruxelles.
#12
C’est corrigé, merci. 
" /> Pour les erreurs, le mieux reste de passer par le formulaire dédié (accessible en surlignant le texte).
#13
C’est une excellente nouvelle que de constater que la Commission européenne s’intéresse concrètement au sujet de la sécurité informatique. Mine de rien, VLC est l’un des logiciels les plus populaires du monde, et y trouver des failles en vue de les colmater permettra d’améliorer la sécurité de tous. Le cas de CCleaner nous a appris que la popularité d’un logiciel pouvait s’avérer être un critère de choix pour des pirates très motivés.
Ceci dit, on l’a vu récemment avec l’affaire Kaspersky, les défauts de sécurité, avérés ou supposés, peuvent servir d’argument pour ruiner la réputation, ou empêcher l’accès de concurrents non américains à certains marchés. Il serait troublant que l’amélioration de la sécurité de VLC empêche sa diffusion.
Pour ce qui est du critère du nombre de chercheurs, celui-ci semble étonnant. Dans un monde en ligne plein de faux profils, est-ce bien pertinent ? Ne devrait-on pas plutôt opter pour un acteur sur la base de résultats passés publiés et validés, plutôt que pour un acteur qui a un carnet d’adresses plus imposant ?
Un autre point paraît étonnant : « le meilleur rapport qualité-prix ». Le risque est de motiver des chercheurs par une garantie de récompense minimale. Mais, une fois une faille trouvée, que ces chercheurs se tournent d’abord vers un acteur concurrent plus généreux du marché gris, avant de se rabattre, le cas échéant, sur la prime qui les as motivés initialement.
Quant à la polémique sur la souveraineté, difficile de trancher.
Nous limiter aux seuls acteurs locaux plus onéreux permettrait, pour un même budget, de trouver moins de failles, et ainsi continuer à utiliser des logiciels moins sécurisés. Mais faire appel à des acteurs étrangers risque d’empêcher les acteurs locaux d’améliorer leur savoir-faire et améliorer leur productivité…
#14
D’ailleurs question un peu hs, on sait combien de vlc sont installé dans le monde à peu près ?
#15
Ca serait pas plus productif de payer quelques euros par poste à VideoLAN pour l’utilisation de VLC ?
Cela leur permettrait peut-être d’embaucher un expert en sécurité…
#16
La taille de la communauté est un critère parmi d’autres, mais il avantage HackerOne, qui est un “historique” du domaine.
#17
#18
Est-ce le rôle de la commission européenne de faire ce genre de chose déjà.
#19
C’est très souvent le cas pour les marchés publics et pour ceux des grandes sociétés. Cela permet d’éviter la petite boite dont tu es le seul client et qui meurt quand le marché se termine voire pire avant que la prestation ne soit rendue.
#20
Oui parfaitement.Elle le fait pour la sécurité de ses postes si en plus cela profite à la communauté (Européenne et Mondiale), tant mieux.
#21
#22
Juge et parti ?
#23
#24
#25
#26
#27
L’un n’empêche pas l’autre. Il peuvent même donner le reliquat des primes à Videolan…
#28
le problème avec les critères de la commission, c’est qu’ils avantagent grandement les acteurs historiques.
je vois pas, si on change pas ces critères, comment la prochaine fois on retomberait pas sur le même résultat…
#29
#30
Derrière la question e souveraineté, je vois aussi la possibilité pour HackerOne de découvrir des failles et de ne pas les divulguer publiquement pour n’en faire profiter que la NSA, CIA et cie. Après les révélations de ces dernières années, je ne pense pas que l’hypothèse puisse être écartée si facilement. Mais bon comme le code est ouvert, si certains voient le boue, d’autres pourront le voir également.
#31
Pour ne pas passer de marchés avec des rigolos qui ont monté leur boite dans leur cuisine et qui mettent la clé sous la porte quelques mois après… si une institution passe un marché c’est pour avoir un résultat, pas pour repasser le même marché quelques mois après en n’ayant plus personne qui répond (cause pas retenu une première fois) et en ne pouvant du coup plus assurer le résultat puisque le code des marchés est incontournable.
C’est injuste et ça favorise les grands acteurs.
C’est dans la logique du capitalisme de concentration de l’activité, rien de bien nouveau.
#32
#33
#34
Sur le code de la v2.2.6 ou v3 ?
#35
#36
Et pourquoi un marché fermé et pas un bug bounty ouvert où n’importe qui peut participer ?
#37
S’ils en sont encore au stade de l’inquiétude, c’est qu’ils ont bien 10 ans de retard au compteur, et qu’ils ont loupé la vidéo “Qui gouverne la France ?” d’un certain François Asselineau. Dommage pour eux.
#38
Tu as raison. Ce n’est certainement pas le premier. Ni le plus important. Mais, dans l’actualité récente, l’un des plus couverts médiatiquement. Quel(s) autre(s) candidat(s) suggères-tu ?
#39
Sans réclamer de rançon (ce qui est clairement illégal), il y a un “marché gris” de failles de sécurité non publiées consistant, pour un chercheur, à ne surtout pas contacter le développeur du logiciel mis en déroute, mais plutôt une entreprise tierce qui rachète ces failles en vue de les revendre au (gouvernement ?) plus offrant. Parmi ceux-ci figure Zerodium, anciennement (?) Vupen Security.
#40
#41
#42
Il est toujours bon d’avoir une autre paire d’yeux pour scruter un logiciel à la recherche de faille. C’est quelque chose qui se pratique partout.
Pour travailler en ESN, nous soumettons nos logiciels à des analystes externes à la recherche de failles ou juste pour faire un simple audit de code (optimisation, etc.)
VLC étant visiblement très utilisé au sein des institutions EU, il est impératif que Bruxelle fasse effectué un “audit” sécurité du logiciel afin de pouvoir détecter et faire corriger des bugs/failles qui seraient passer sous le radar des dev de VLC notamment.
#43
Il faut ajouter des critères de souverainetés dans les appels d’offres
Ok, mais pourquoi ? Que vient faire la souveraineté là dedans ? J’aime bien l’idée de demander des critères qui nous donnent l’avantage à ceux qui les émettent.
Est-ce parce que les chercheurs européens seraient meilleurs que les américains ? Le code source est ouvert, donc ce n’est pas une question de savoir qui voit quoi. Le but du jeu est de trouver les failles, il est normal de faire avec les plateformes qui ont les capacité de le faire. S’est-on demandé pourquoi elles avaient 4 ans d’avance ? Je ne comprends pas en quoi cet argument de souveraineté serait pertinent pour VLC et ses utilisateurs.
#44
#45
#46
#47
Si je ne m’abuse le but de l’Europe était aussi de faire contrepoids aux gros blocs comme la Russie et les US puis la Chine.
Donc penser nationale n’est pas déconnant, d’autant plus que c’est le serpent qui se mort la queue; peu d’appels d’offres remportés donc peu de monde motivé donc toujours pas d’appels d’offres remportés donc…
Au final le gros continue de grossir et donc continue de raffler ce genre de contrat tandis que les locaux étant plus petit et moins ceci et moins cela ne font pas le poids. Si on ne casse pas le cercle il n’y a aucune raison que cela change.
Et surtout, vu comment les EU font du protectionnisme à outrance en mettant du national par-ci par-là (Coucou Kaspersky), ce ne serait que jouer à armes égales.
Mais non en Europe on aime se faire dilater le fondement et on en redemande…Triste.
#48
Les règles des marchés publics sont régis par le droit européen, et imposent un principe d’égalité. C’est en contradiction avec une quelconque préférence communautaire ou nationale. Ces règles sont aussi transcrites dans le droit français, ce qui empêche une quelconque préférence nationale dans les marchés publics français. Pour changer ça il faut changer le droit européen, bon courage !
#49
L’article explique pourtant pourquoi la Commission lance le test :
“Fin 2016, la première mouture de FOSSA avait permis l’audit du gestionnaire de mots de passe KeePass et du serveur web Apache HTTP, sans trouver de faille critique. Le bug bounty sur VLC s’inscrit dans le programme EU FOSSA 2, destiné à auditer les logiciels open source utilisés par les institutions européennes, pour un budget total de 2,6 millions d’euros.”
Quand un organisme aussi critique en terme de risque d’infiltration ou de manipulation utilise un logiciel, elle doit se protéger. La Commission utilise VLC, elle veut s’assurer qu’aucune faille n’est exploitable. En plus, on parle de 30 000 euros, ce qui est une goutte d’eau par rapport au risque d’un piratage.
Lors d’un stage chez EDF R&D, j’utilisais un PC avec une version de Linux modifiée spécialement, notamment pour colmater toutes les failles connues à l’époque. De la même manière, on aurait pu dire que ce n’était pas à EDF de sécuriser son OS, que le fournisseur devait fournir la garantir. Pourtant ils l’ont fait, parce que ça répondait à un besoin.
#50
#51
Si le logiciel est utilisé par les employés de la Commission, on peut imaginer que celle-ci a un intérêt passablement important à être sûr que ces logiciels sont “propres”.
Si une entreprise veut utiliser un logiciel, elle va l’auditer afin d’être sûre que ce logiciel correspond à sa politique de sécurité.
Pour moi, la logique n’est pas vraiment différente que de payer un employé ou un externe pour établir des règles de travail imposant aux employés de mettre des mots de passe sur leurs appareils, à fermer à clé les bureaux quand on part ou à ranger les dossiers confidentiels dans un endroit spécial à la fin de la journée.
Je considère donc pas que ça dépasse aussi nettement le cadre des activités de la Commission. Après effectivement si c’est une campagne à plein de millions avec plein de participants pour un logiciel qui n’est pas ou peu utilisé, là on dépasserait les bornes.
#52
Merci, je me coucherai moins bête ce soir.
#53
Pour me faire l’avocat du diable, le critères peuvent être un moyen de sélection déguisée. Il suffit de sélectionner une caractéristique que les concurrents de celui que tu veux faire gagner n’ont pas.
Je n’accuse personne dans ce cas précis mais c’est courant comme technique, que ce soit pour des appels d’offre, des offres d’emploi où l’on publie l’annonce par obligation légale etc.
#54
C’est très juste. Mais au moins celui qui fait l’appel d’offre doit être transparent sur ses raisons. On permet aussi aux participants de (au moins) pouvoir contester l’attribution. J’ai rien contre le fait qu’on prenne en compte certains facteurs (conditions des travailleurs, écologie, sécurité ou autre) dans la pondération de la note, mais ça doit rester raisonnable et encadré parce que le principe de base est le libre marché.
Après, le développement et l’application des règles relatives aux marchés publiques n’éradique malheureusement la mauvaise gestion qui résulte de certaines pratiques de copinage que certains se permettent de faire parce qu’ils ont entre les mains de l’argent publique.
#55
#56
Que veux tu, on aime bien se pencher en avant alors que le constat est clair niveau EU ou Chine… Et donc au lieu de jouer nous aussi le jeu du protectionnisme-mais-pas-trop, on prefere vendre (nos sociétés) et acheter hors UE.
Et après les même vont se plaindre de l’hégémonie de groupe géant comme Google ou Amazon, et que c’est dommage de ne pas avoir d’alternative européenne.
#57
Quand même!
#58
#59
#60