L’Europe débloque 1million€ pour auditer ses logiciels open-source

La députée européenne Julia Reda, par ailleurs membre du parti pirate, annonce qu'elle a obtenu de la Commission européenne le déblocage d'une enveloppe d'un million d'euros dans le cadre d'un projet pilote visant à organiser l'audit des logiciels open source utilisés par les institutions européennes.

   Lorsque le scandale du système de surveillance américain a éclaté au grand jour l'année dernière, les réactions indignées ont été nombreuses de chaque côté de l'Atlantique. Les tentatives de riposte aussi. Sur le Vieux Continent, la commission des libertés civiles (LIBE) du parlement européen a par exemple suggéré diverses mesures pour limiter l'espionnage afin de mieux préserver la vie privée des individus. Celles-ci ont par la suite été reprises par la majorité des eurodéputés, alors réunis en session plénière.

   Parmi ces pistes, on retrouve le logiciel libre. Dans son enquête, la commission LIBE a constaté que les révélations d'Edward Snowden "ont dévoilé de nombreuses faiblesses dans le système de sécurité informatique des institutions européennes". Il a alors été demandé "d'évaluer correctement les capacités techniques du parlement et les différentes options envisageables", dont l'utilisation du logiciel libre.

   VÉRIFIER LE LOGICIEL LIBRE

   Sauf qu'il ne suffit pas de basculer vers le logiciel libre pour que tout soit réglé. Certes, c'est une première étape importante, mais elle est insuffisante. Il convient aussi de vérifier que le programme en
question ne comporte aucune fonction cachée. Car ce n'est pas parce que le code source est disponible que celui-ci a effectivement été vérifié. Or, cette étape demande du temps mais aussi des moyens.

   En la matière, Heartbleed est un cas d'école. Malgré le caractère open source de la bibliothèque de cryptographie OpenSSL, il a fallu plusieurs années avant de repérer cette vulnérabilité. Suite à cette affaire, qui a mis en lumière le fait que l'évolution d'OpenSSL était assurée par une poignée de développeurs bénévoles, malgré son importance pour la sécurité des échanges, les grandes entreprises ont toutefois annoncé qu'elles allaient financer son développement.

   Mais l'on pourrait aussi mentionner la faille dans le shell Bash, qui remonte à la fin des années 80.

   C'est dans ce contexte que la députée Julia Reda, seule élue du parti pirate au parlement européen, est parvenue, avec l'aide du parlementaire Max Andersson, à obtenir que le budget 2015 de l'Union européenne finance un audit visant à vérifier la qualité des logiciels libres que les institutions européennes utilisent dans le cadre de leurs activités.

   UN PROJET PILOTE D'UN MILLION D'EUROS

   Dans un article publié sur son blog, Julia Reda explique que la somme débloquée par la Commission européenne, un million d'euros, provient d'une enveloppe de 40 millions d'euros servant à financer des projets pilotes. Cette initiative est par ailleurs susceptible d'être poursuivie dans le temps, entre un et trois ans de plus, en fonction de sa réussite. À terme, ce projet pourrait même être financé de façon régulière par l'Union européenne, indique l'eurodéputée.

   Pour l'heure, le projet est supervisé par la Commission européenne et se compose de trois phases :

  1. Déterminer la façon dont les audits de code doivent être menés : il est question de produire une étude visant à relever les meilleures pratiques dans ce domaine et de les comparer avec celles déjà éprouvée au sein de la communauté open source ;

  2. Lister ce qui doit être audité : il s'agit d'établir une liste complète de l'ensemble des logiciels open source utilisés au sein des institutions européennes ;

  3. Expérimenter : cette dernière étape doit doit permettre de réaliser un examen "exemplaire" d'un logiciel libre de premier plan utilisé à la fois par l'Union européenne et le public. De cette façon, le grand public pourra aussi en profiter.

   Pour Julia Reda, le seul caractère open source d'un logiciel ne suffit pas avoir la garantie d'un code sûr. Il faut que des gens s'en assurent, en l'analysant effectivement. Et hormis certains logiciels libres qui ont la chance d'avoir leur propre communauté bénévole et désintéressée, de nombreux programmes ne sont pas vérifiés. D'où la nécessité de mobiliser des fonds pour corriger le tir

   "Il est clair que des ressources supplémentaires sont nécessaires pour découvrir et corriger les erreurs dans les logiciels sur lesquels le reste du monde a fini par s'appuyer", explique Julia Reda. Avec ce projet, l'eurodéputée juge qu'un double objectif peut être atteint : préserver les principes portés par le logiciel libre, incluant celui de le manipuler en toute liberté, tout en renforçant sa sécurité, pour qu'il protège efficacement l'utilisateur.

Source: Numerama.com