Il s'agit là d'une composante du projet EU FOSSA 2, par lequel une quinzaine de logiciels open source seront examinés à la loupe, et qui prévoit la répartition d'un montant total supérieur à 800.000 euros. KeePass, Notepad++, VLC, Apache Tomcat, PHP Symfony, Drupal et 7-Zip notamment figurent sur la liste.

Quiconque découvrira une faille dans ces logiciels, pourra revendiquer une récompense financière. Et si la personne parvient en plus à y trouver une solution, elle pourra même recevoir un bonus. En tout, le montant attribué pourra atteindre 25.000 euros par problème décelé.

Gestion belge

La Commission européenne avait en 2016 déjà prévu un budget supplémentaire pour ce genre de programme. Elle a à présent trouvé aussi des partenaires pour le projet, ce qui fait que le 'bug bounty program' peut à présent démarrer. Le principal partenaire est l'entreprise belge Intigriti de Stijn Jans. Cette entreprise propose une plate-forme, où des pirates éthiques peuvent examiner légalement à la loupe certaines firmes (ou leurs processus). HackerOne gérera elle aussi une partie du programme.

La tâche d'Intigriti consistera à valider les problèmes découverts. "Nous hébergerons les logiciels. L'objectif est que nous y consacrions plusieurs personnes. Voilà pourquoi nous collaborerons avec Deloitte, afin d'obtenir de sa part une seconde opinion de qualité", explique Inti De Ceukelaire à Data News.

De Ceukelaire, qui est lui-même un hacker éthique, conseillera Intigriti dans le cadre de ce projet: "Le projet posera pas mal de défis. Il conviendra de vérifier dans la communauté, si une faille n'a précédemment déjà pas été décelée. Il se peut aussi qu'au départ, on découvre quelque chose qui ressemble fortement à une faille, mais qui par la suite, après un examen plus approfondi, ne s'avèrera pas vraiment un problème."

Chez Intigriti, De Ceukelaire devra servir d'intermédiaire entre la communauté des hackers et le programme 'bug bounty'. Vu son implication, il ne sera pas lui-même partie prenante et ne visionnera pas non plus ce que d'autres rapporteront.

Les 'bug bounties' pour la plupart des logiciels démarreront dans les heures qui suivent ou à la fin du mois et se prolongeront jusque fin 2019 ou mi-2020. Toutes ces dates seront flexibles et dépendront en grande partie du type de failles qui seront découvertes.