Depuis début 2015, l’union européenne finance un petit "programme pilote" nommé FOSSA, proposé par les eurodéputés Julia Reda (pirate) et Max Andersson (verts), destiné à améliorer la solution des logiciels libres, en particulier (mais pas uniquement) ceux utilisés par les institutions de l’union européenne.
En juin 2016, ce projet avait fait appel aux opinions du public pour choisir un petit nombre de projets logiciels pour lesquels financer un audit du code source. Les résultats des votes sont disponibles ici. Des audits ont été financés pour les deux gagnants, le gestionnaire de mot de passe KeePass et le serveur web Apache.
Depuis début décembre 2017, l’union européenne finance une "chasse aux problèmes de sécurité" pour le troisième logiciel le plus demandé dans ces votes, le lecteur multimédia VLC. L’information complète est décrite (en anglais) sur le site web HackerOne. Un périmètre de recherche est défini, et les bugs validés par l’équipe de développement donneront lieu à des récompenses financières, de \$250 pour des bugs signalés sans technique d’exploitation à \$5000 pour des bugs exploitables comme des failles de sécurité critiques.
J’ai appris l’existence de cette nouvelle initiative sur le blog de Julia Reda, EU offers cash bounties to improve the security of VLC media player, 12 décembre 2017.
Je pense que c’est une bonne initiative ; je ne sais pas si les chasses aux bugs payantes sont une façon plus ou moins efficace d’aider un logiciel qu’un audit de sécurité (relativement à leurs coûts, etc.), mais je trouve intéressant la démarche de ces eurodéputés d’essayer des choses différentes et de voir ce qui marche, pour ensuite proposer ce qui aura réussi dans une demande de financement pérenne.
