Bug bounty : la Commission européenne choisit la plateforme américaine HackerOne (Guillaume Tissier, CEIS)

Lancé fin 2014, le programme EU-FOSSA avait un double objectif : contribuer au développement de l’Open source, largement utilisé par les institutions de la Commission européenne, et améliorer sa sécurité en renforçant les liens entre les professionnels de la sécurité et la communauté open source. Créé après l’incident HeartBleed et géré par la DG DIGIT (Directorate general for IT), le projet a tout d’abord débouché sur un « bug bounty » pilote concernant le gestionnaire de mot de passe KeePass et le serveur http Apache, sans qu’aucune vulnérabilité majeure ne soit identifiée.

Après ce premier essai, décision est prise de prolonger le programme et un budget de 1,9 million d’euros est voté par le Parlement. Un premier appel d’offres pour un montant de 60 000 euros maximum est donc lancé en juin 2017 concernant le populaire lecteur multimédia VLC, largement déployé sur les ordinateurs de la Commission. Mais surprise lors des résultats de la consultation : alors que les principales plateformes européennes que sont Yogosha, YesWeHack, Integrity ou ZeroCopter, se sont toutes positionnées, le marché est remporté par HackerOne, la première plateforme américaine. Principaux arguments avancés par la Commission dans sa réponse : la taille de la communauté de hackers éthiques mobilisée par HackerOne (100 000 personnes) et une proposition financière plus attractive.

La victoire d’HackerOne soulève tout d’abord une question de sécurité : comme dans tout bug bounty, la plateforme choisie concentrera toutes les vulnérabilités découvertes sur le logiciel cible, ce qui est d’autant plus inquiétant que Wikileaks a révélé comment le logiciel VLC avait déjà été utilisé par la CIA pour mener des opérations d’espionnage… Même si la plateforme agit comme un tiers de confiance, lancer un bug bounty signifie exposer ses failles avec tous les risques que cela comporte quand on fait appel à une communauté externe. Mais cette victoire met aussi et surtout au grand jour les difficultés du marché européen du numérique face au principe du « winner takes all » cher aux grandes plateformes numériques. L’importance des effets réseaux concentre le marché sur un opérateur largement dominant, les suivants ne récupérant que des miettes.

Si HackerOne, qui a distribué pas moins de 14 millions de dollars aux hackers depuis sa création et levé 40 millions de dollars auprès du fond suédois EQT Venture, a l’ambition parfaitement légitime de développer ses activités en Europe, il importe aussi de créer les conditions permettant à ses concurrents européens Integrity, Zerocopter, Yogosha ou encore YesWeHack de se développer. L’appel d’offres de plus grande ampleur qui devrait être prochainement lancé en procédure ouverte par la Commission (voir l’avis de pré-information) pourrait ainsi être l’occasion de mettre en avant des acteurs européens…