Bug bounty : Bruxelles confie VLC à l'américain HackerOne, les concurrents français s'inquiètent

Le moment souverain 60
image dediée
Crédits : HYWARDS/iStock
Securité
Par
le mardi 05 décembre 2017 à 16:13
Guénaël Pépin

La Commission européenne a choisi la plateforme américaine HackerOne pour une recherche de bugs dans VLC. À la clé, un maximum de 60 000 euros et de bons points auprès de l'institution, qui prévoit de dépenser 2,6 millions d'euros dans de futurs audits. Pour les deux plateformes françaises, B0unty Factory et Yogosha, ce choix pose une importante question de souveraineté.

Fin novembre, la Commission européenne a désigné la plateforme américaine de recherche de bugs (bug bounty) HackerOne pour mener une campagne sur le lecteur vidéo VLC. Jusqu'à 60 000 euros pourraient être investis au maximum dans la découverte de failles dans le célèbre logiciel. Jean-Baptiste Kempf, président de Videolan, nous déclare connaître un montant de 30 000 euros pour cette campagne.

Les chercheurs ont jusqu'aux « premières semaines de janvier » pour trouver des problèmes. Les montants vont de 100 à 3 000 euros par vulnérabilité repérée, même si HackerOne exprime ces sommes en dollars. Les problèmes les plus graves, valant au moins 2 000 dollars, doivent mener à de l'exécution de code à distance.

Fin 2016, la première mouture de FOSSA (Free and Open Source Software Auditing) avait permis l'audit du gestionnaire de mots de passe KeePass et du serveur web Apache HTTP, sans trouver de faille critique. Le bug bounty sur VLC s'inscrit dans le programme EU FOSSA 2, destiné à auditer les logiciels open source utilisés par les institutions européennes, pour un budget total de 2,6 millions d'euros.

D'autres appels d'offres sont prévus en 2018 et 2019. En attendant, le choix d'HackerOne par la Commission ne plaît pas à tous, surtout pas aux plateformes françaises, pour lesquelles de tels programmes de sécurité ne devraient pas être ainsi délégués à des acteurs américains.

HackerOne, « le meilleur rapport qualité-prix »

Lisez la suite : 67 % de ce contenu reste à découvrir

Seuls nos abonnés peuvent lire l'intégralité de cet article.


chargement
Chargement des commentaires...