ANSSI
Evaluations de sécurité de logiciels open source financées par l’ANSSI
“Le succès n’est pas final, l’échec n’est pas fatal. C’est le courage de continuer qui compte.” Winston Churchill
La version HTML de cette page se trouve ici.
Chaque année, l’ANSSI sélectionne des logiciels open source afin de les soumettre à des audits de sécurité « à façon » ou à des évaluations de sécurité conformes au schéma de certification CSPN, avec pour objectifs primordiaux de renforcer le niveau de cybersécurité de ses bénéficiaires et de soutenir le développement de l’écosystème open source. Ces résultats d’évaluation sont mis à profit pour élever la posture de sécurité globale :
- par renforcement de la robustesse du code source et de l’architecture de sécurité des logiciels open source : les résultats sont transmis aux éditeurs et aux communautés de développement concernées, potentiellement accompagnés de recommandations détaillées pour corriger les vulnérabilités identifiées ;
- par diffusion des bonnes pratiques : les constats réalisés sont susceptibles de nourrir la doctrine technique de l’ANSSI (p. ex. élaboration ou mise à jour des guides d’installation et d’utilisation destinés en premier lieu aux bénéficiaires de l’Agence et plus généralement, à l’écosystème numérique).
Ces évaluations de sécurité sont pilotées et accompagnés par des experts ANSSI et réalisées par des experts des Centres d’Evaluation de la Sécurité des Technologies de l’Information (CESTI).
Le tableau ci-après liste les travaux de l’ANSSI et donne les pointeurs vers les livrables associés à chaque évaluation. Ces informations peuvent être utiles à des professionnels de la cybersécurité pour les aider à se faire une idée du niveau de sécurité d’un logiciel open source particulier. Elles viennent compléter les recommandations générales de l’ANSSI pour sélectionner un logiciel open source [FR, EN].
| Année* | Logiciel | Type d’évaluation | Status CSPN | Résultats |
|---|---|---|---|---|
| 2025 | Sentry [dépôt] | CSPN | n.a. | Début de l’évaluation en mars 2026 |
| 2025 | Shibboleth [web] | Audit | n.a. | Evaluation en cours |
| 2025 | Vault [dépôt] | Audit | n.a. | Evaluation en cours |
| 2025 | HAProxy [dépôt] [SILL] | Audit | n.a. | Aucune vulnérabilité identifiée Blog-post CESTI Almond (ex Amossys) |
| 2025 | step-ca [dépôt] | Audit | n.a. | 1 vulnérabilité identifiée (CVE-2025-66406) Blog-post CESTI Amossys |
| 2025 | fuzzysully [dépôt] | n.a. | n.a. | Développement et publication par l’ANSSI d’un fuzzer OPC-UA. |
| 2024 | CAS [dépôt] [SILL] | Audit | n.a. | 4 vulnérabilités identifiées Blog-post CESTI Amossys |
| 2023 | KeePassXC [dépôt] | CSPN | ✅ Certificat Rapport certification |
|
| 2023 | WireGuard [dépôt] | CSPN | ❌ Pas de certificat à l’issue du processus | |
| 2023 | Keycloak [dépôt] [SILL)] | Audit | n.a. | |
| 2022 | S2OPC [dépôt] | CSPN | ✅ Certificat Rapport certification |
|
| 2022 | OpenSSH [dépôt] | Audit | n.a. | |
| 2022 | nftables [web] | CSPN | ✅ Certificat Cible de sécurité Rapport certification |
|
| 2022 | cert-manager [dépôt] | CSPN | ⚠️ Abandon | |
| 2021 | Sudo [dépôt] | CSPN | ❌ Pas de certificat à l’issue du processus | |
| 2021 | Belenios [dépôt] | CSPN | ❌ Pas de certificat à l’issue du processus | |
| 2021 | Secretin [dépôt] | CSPN | ❌ Pas de certificat à l’issue du processus | |
| 2021 | KeePass [SILL] | CSPN | ❌ Pas de certificat à l’issue du processus | |
| 2019 | S20PC [dépôt] | CSPN | ❌ Pas de certificat à l’issue du processus | |
| 2019 | strongSwan [dépôt] | CSPN | ❌ Pas de certificat à l’issue du processus | |
| 2018 | KeePass 2.5 [SILL] | CSPN | ❌ Pas de certificat à l’issue du processus | |
| 2018 | E2Guardian [dépôt] | CSPN | ✅ | |
| 2018 | Suricata v6.0.8 [dépôt] | CSPN | ✅Certificat Rapport certification |
|
| 2018 | Ansible [dépôt] [SILL] | CSPN | ❌ Pas de certificat à l’issue du processus | |
| 2018 | Keystone [dépôt] | CSPN | ❌ Pas de certificat à l’issue du processus | |
| 2018 | Barbican [dépôt] | CSPN | ✅ Certificat Rapport certification |
* Année de lancement de l’évaluation de sécurité