VLC au scanner d’un programme de bug bounty soutenu par la Commission européenne
La plateforme HackerOne à l’honneur

La Commission européenne a procédé à l’extension du programme d’audit des logiciels libres et open source (FOSSA) dont les institutions européennes font usage en y incluant une approche bug bounty. Présent sur chaque poste de l’organisation, le lecteur multimédia VLC fait partie des heureux élus de cette première édition de chasse aux bogues. Les hackers avec une expérience sur la plateforme américaine HackerOne seront lancés dans l’arène pour rapporter des vulnérabilités à l’équipe de développement VLC.

Nom : vlc.jpg Affichages : 2992 Taille : 32,3 Ko

De 100 € à 3000 € de récompenses pour un programme de chasse aux bogues auquel le Parlement européen a donné vie en fin d’année dernière en l’adossant au programme FOSSA. À noter que ce dernier bénéficie d’un financement de 1,9 million d’euros pour 2017. L’initiative fait suite aux audits de sécurité l’année précédente du serveur Apache HTTP et de Keepass, un outil open source de génération de mots de passe « forts ». Cette année, place au célèbre lecteur multimédia pour lequel les vulnérabilités sont rapportées dans un premier temps dans le cadre d’un programme privé. Le budget du programme de bug bounty VLC est fixé à 60 000 € et détermine la durée de l’opération qui pourrait courir jusqu’aux aurores du mois de janvier 2018.

VLC en tant que logiciel n’échappe pas aux principes du test dont l’un stipule que l’absence de bogues est une utopie. Dans un contexte fait de cyberattaques à répétition, la moindre faille constitue une aubaine pour des acteurs malveillants. Le mois de mars de cette année a en effet été le théâtre de révélations concernant des opérations d’espionnage s’appuyant sur des logiciels open source. WikiLeaks a mis la CIA à nu pointant l’usage d’anciennes versions du lecteur multimédia par l’Agence pour exfiltrer des informations d’ordinateurs cibles.

Ce programme de bug bounty contribuera à améliorer un logiciel dont la popularité va bien au-delà des sphères de l’UE. Petit regret cependant, celui de ne voir une plateforme de bug bounty européenne organiser ces travaux.

Sources

Site de la Commission de l’UE

HackerOne

Votre avis

Pourquoi ne pas avoir opté pour une plateforme européenne de bug bounty comme Bounty Factory ?

Voir aussi

Le projet Tor offre jusqu'à 4000 $ par faille dans le cadre d'un programme public de bug bounty via la plateforme HackerOne
Bug bounty : après le Pentagone, l'US Air Force invite à son tour les experts en sécurité à tester ses systèmes via la plateforme HackerOne