Tous les jours, nous faisons appel à des logiciels open source sans le savoir. C’est le cas d’un serveur web Apache. Cas typique : un « client » (par exemple un navigateur web) se connecte à un serveur (par exemple un serveur HTTP Apache) avec un protocole spécifique, et effectue une requête pour une ressource en spécifiant son chemin.
Internet est l’infrastructure sur laquelle repose notre vie de tous les jours. Or, elle n’est pas à l’abri d’un bug niché dans une brique open source.
Prime en fonction de la sévérité d’une faille
Conscient de notre dépendance vis-à-vis de ces programmes, la Commission européenne a lancé en 2014 le projet d’audit des logiciels libres et open source (FOSSA – Free and Open Source Software Audit).
L’eurodéputée Julia Reda, à l’origine de projet FOSSA, explique que la « Commission européenne et les administrations publiques en général ont la responsabilité d’assurer la stabilité, la fiabilité et la sécurité d’internet – en y investissant. »
Supervisé par la Direction générale de l’informatique de la CE (DIGIT), FOSSA est un bug bounty. Qu’il soit organisé par la CE ou une entreprise privée, le principe reste le même : une prime est versée à un groupe ou à une personne découvrant une vulnérabilité dans un système ou un logiciel. Le montant de la prime dépend de la sévérité de la faille découverte et de l’importance relative du logiciel. Ensuite, cette découverte est signalée aux développeurs en question.
Renforcer la sécurité
Deux projets (serveur web Apache et gestionnaire de mots de passe KeePass) ont fait l’objet d’un audit de sécurité. En décembre 2018, le projet FOSSA est entré dans sa phase 2. Une liste de 15 projets qui recevront une prime aux bogues a été présentée.
Pour Paul Farrington, un expert travaillant chez Veracode, une entreprise spécialisée dans la sécurité logicielle, FOSSA est une initiative intéressante. « Dans notre rapport 2018 sur l’état de la sécurité des logiciels, nous avons constaté que 87,5 % des applications Java contiennent au moins une bibliothèque open source avec des vulnérabilités. Certains des programmes en cours d’expérimentation dans l’UE s’appuient aujourd’hui sur des projets open source dont on sait qu’ils présentent des vulnérabilités. Il y a beaucoup à faire pour améliorer l’hygiène générale du développement logiciel en utilisant l’automatisation moderne de la numérisation. »
Dans l'actualité
- Hackers éthiques et emploi : 11% d’augmentation mais un poste peu accessible
- Réseaux énergétiques : la cible des hackers
- Les conseils d’un hacker pour rester anonyme sur le web
- Hackathons : tous gagnants ?
- Quand les hackers sont au service des entreprises
- Hacker un pacemaker, un jeu d’enfant ?
- Réseaux 4 G : la sécurité est (toujours) aux abonnés absents
- L’Open Source : une alternative économique aux éditeurs américains
- Turfu Festival : zoom sur un projet robotique open source et une intelligence artificielle
- Recherche désespérément spécialistes en Linux et open source
- L’Open source pour casser le prix des médicaments
- L’open source en France : un levier de croissance face aux géants américains
- À la chasse aux failles informatiques : le bug bounty expliqué
- Google met à disposition un scanner de vulnérabilités
- Les failles de cybersécurité dites « 0-day » ne connaissent pas la crise
Dans les ressources documentaires
- Sécurité de l'informatique en nuage
- Sécurité informatique pour la gestion des risques- Application aux systèmes d’information
- Sécurité informatique pour la gestion des risques- Application aux systèmes scientifiques et techniques
- Concevoir des produits mécatroniques en open innovation
- Les wikis, sources d’informations