Le Bug Bounty : un dispositif innovant pour renforcer la sécurité des services numériques
La Direction interministérielle du numérique (DINUM) met à jour son programme de Bug Bounty pour FranceConnect, FranceConnect+ et AgentConnect, les systèmes d’authentification unique des services et agents publics en France. Ce programme, mis en place en partenariat avec YesWeHack, vise à renforcer la sécurité de FranceConnect en encourageant les hackers éthiques à signaler les failles de sécurité qu’ils pourraient identifier.
Partager
Trouver les failles de FranceConnect pour renforcer sa sécurité, c’est tout l’objectif du programme de Bug Bounty de la DINUM mené avec YesWeHack pour FranceConnect, FranceConnect+ AgentConnect et Tchap pour lequel l’État incite des professionnels du numérique à s’engager.
Ce programme vise à renforcer la sécurité de ces 4 services en encourageant des hackers éthiques à signaler de potentielles failles de sécurité ayant un impact plus ou moins majeur telles que : l’exfiltration des données des utilisateurs, l’utilisation abusive de l’identité des utilisateurs, les redirections des utilisateurs vers des sites web malveillants.
Chaque programme permet de définir une grille de primes, permettant une récompense financière différente en fonction de la criticité de la vulnérabilité découverte. A ce titre, la plus haute prime possible sur le programme FranceConnect/FranceConnect+ et AgentConnect est à ce jour de 20 000 € et de 4 000 € pour le programme sur Tchap.
Pour l’État, les enjeux et bénéfices de cette opération sont clairs :
1️⃣ : repérer des failles complexes ou inconnues de manière continue (VS un audit réalisé à un instant T) et de manière proactive ;
2️⃣ : renforcer la couverture de protection en cybersecurité, notamment en utilisant les modes opératoires des attaquants et ainsi améliorer la capacité de l’État à réagir et à se prémunir des attaques ;
3️⃣ : développer la montée en maturité des équipes en charge de la cybersécurité ;
4️⃣ : inciter les citoyens à s’engager pour construire avec l’État un service public de performant. Le code étant open source depuis fin 2021, tous ceux qui le souhaitent peuvent ainsi contribuer à l’amélioration de la sécurité de FranceConnect, le tout dans un cadre bienveillant et constructif.
Les hackers éthiques, également appelés “white hats”, sont des professionnels de la sécurité informatique qui utilisent leurs compétences pour identifier et signaler les failles de sécurité des systèmes informatiques. Ils jouent un rôle essentiel dans la protection des systèmes contre les cyberattaques, permettant d’agir sur les vulnérabilités avant leur exploitation par des acteurs malveillants.
Pour participer au programme de Bug Bounty de FranceConnect, les hackers éthiques doivent directement s’inscrire ici et ici pour le programme sur Tchap. Ils pourront ensuite signaler les failles de sécurité qu’ils identifient en suivant les instructions fournies sur la plateforme.
Les principales règles d’intervention sur le programme :
- Être le premier à remonter une faille en proposant une remédiation.
- Éviter les tests qui pourraient endommager ou rendre indisponible les plateformes.
- Ne pas divulguer, exploiter ou supprimer les données d’un utilisateur.
- Ne pas participer si l’on est FranceConnect, FranceConnect+ AgentConnect ou Tchap.
- Ne pas être un ancien ou actuel employé, prestataire ou auditeur de la DINUM sur les produits FranceConnect, AgentConnect ou Tchap.
Le programme est public et accessible, pour y participer l’inscription est obligatoire sur la plateforme YesWeHack qui vérifie les profils de tous ses membres Une fois inscrit, les hackers éthiques pourront ensuite signaler les failles de sécurité qu’ils identifient en suivant les instructions fournies sur la plateforme.
Ce programme existe depuis 2021 et a été mis à jour début novembre 2023 afin de renouveler l’intérêt d’experts en sécurité informatique.
Participer au Bug Bounty FranceConnect, FranceConnect+ et AgentConnect