L’Union européenne compte lancer dans le mois prochain, une chasse aux bogues avec des plateformes de Bug Bounty telles que HackerOne ou Intigriti. L’UE a émis 14 primes de bogues sur des projets liés au logiciels libres sur lesquels les institutions au sein de l’Union s’appuient pour effectuer leurs diverses activités. Ces plateformes se présentent pour la plupart comme étant des regroupements de “hackers éthiques” ou plateformes de sécurité optimisées par les pirates. Elles proposent aux entreprises de tester et sécuriser les applications qu’elles utilisent dans leurs tâches quotidiennes et sont donc fréquemment sollicitées par les entreprises dans ce sens.
Depuis quelques années déjà, beaucoup d’entreprises sont dans cette dynamique. Elle développent leurs solutions et se payent les services de ces plateformes à travers des programmes de Bug Bounty pour apporter une certaine sécurité dans leurs différents logiciels informatiques. En février dernier, Intel s’était appuyé sur HackerOne pour tenter de sauver sa face avec un programme de Bug Bounty primant jusqu’à 250 000 dollars pour éviter un nouveau Meltdown après celui de Janvier 2018. Un Meltdown est une vulnérabilité matérielle touchant principalement les microprocesseurs Intel x86 rendu public en janvier 2018 et qui permet à un processus non autorisé d’avoir un accès privilégié à la mémoire.
Intel avait ouvert son matériel, son Firmware et ses logiciels pour l’occasion. Tout chercheur en sécurité possédant un compte HackerOne pouvait rechercher une liste de bogues dans les produits Intel tels que les processeurs, le code du chipset, les SSD, les cartes mères, les cartes réseau et leurs microprogrammes, mais aussi les pilotes et applications pour les différents systèmes d’exploitation. L’Union européenne veut faire de même déjà le 8 janvier 2019 prochain avec le lancement des primes de bogues FOSSA. Le projet FOSSA ( Free et Open Source Software Audit) du parlement européen est un projet initié courant 2014 dans le but d’améliorer la sécurité des logiciels libres ou la sécurité globale d’Internet au sein de l’Union européenne, ceci après la découverte de plusieurs vulnérabilités graves dans des composants d’infrastructure clés tels que OpenSSL.
Rappelons qu’une prime aux bogues est un prix pour les personnes qui recherchent activement des problèmes de sécurité. Le montant de la prime dépend de la gravité du problème découvert et de l’importance relative du logiciel. Depuis le lancement de FOSSA, les résultats se multiplient. Selon le site personnel de Julia Reda, l’idée est que les audits ne suffisent pas, à eux seuls, à accroître la sécurité. Julia Reda est une femme politique allemande et ancienne présidente des jeunes pirates européens, elle est députée européenne depuis 2014. Il faut, écrit-elle, aborder la sécurité déjà dans le développement logiciel.
Après les primes de bogues, ont eu lieu plusieurs hackathons permettant aux développeurs des projets et des institutions européennes qui dépendent de leurs logiciels de se rencontrer. Cette fois-ci, l’UE avec les primes de bogue FOSSA, le parlement fournit une liste de logiciels et les primes de bogues associées. L’UE invitent donc toutes personnes du domaine de la sécurité à contribuer aux différents projets, analyser les logiciels et soumettre s’il y a lieu les bogues ou les vulnérabilités détectés aux plateformes concernées.