À l’image des white hats, ces hackers éthiques qui tentent de percer les failles de certains sites pour mieux les corriger, le gouvernement a lancé un étonnant appel aux internautes. La direction interministérielle du numérique (DINUM) veut sécuriser au maximum les services gouvernementaux en ligne comme France Connect et Ameli. Rien de moins logique à l’heure où de plus en plus de démarches se dématérialisent.
Pour éviter les mauvaises surprises, le gouvernement s’en remet désormais aux hackers. La semaine dernière, les autorités ont lancé un nouveau programme de bounty bug pour FranceConnect sur YesWeHack. Concrètement, la plateforme met en relation des pirates éthiques (white hats) avec des administrations. Objectif : chercher et exploiter la moindre faille de sécurité existante pour ensuite la rapporter directement à l’entreprise commanditaire. Le tout moyennant une confortable récompense, évidemment.
Qui peut pirater FranceConnect ?
Déployé en 2018 par arrêté, le téléservice FranceConnect est une solution à authentification unique (SSO) qui permet de se connecter à plusieurs services publics en ligne, comme Ameli (Assurance Maladie) ou encore le site des Impôts. Ce dernier, basé sur le protocole OpenID Connect, permet aussi aux fonctionnaires de se connecter aux différents services gouvernementaux internes.
Sans surprise donc, la sécurité derrière FranceConnect est critique. C’est pour cette raison que la DINUM appelle les hackers à tenter d’en percer les défenses, dans le but d’identifier les éventuelles vulnérabilités, et le cas échéant, de les corriger. L’exercice n’est pas aisé, mais il pourra vous rapporter gros.
Jusqu’à 20 000€ de récompense
Sur son site, l’organisme gouvernemental distingue trois scénarios précis : l’exfiltration des données des utilisateurs, l’utilisation abusive de l’identité des utilisateurs et les redirections des utilisateurs vers des sites web malveillants. Les récompenses sont variables, mais plutôt conséquentes, surtout lorsqu’elles concernent FranceConnect+
- Se connecter en utilisant une fausse identité (existant ou non) sur FranceConnect+ : 20 000 €
- Se connecter avec un acr substantiel (eIDAS2) du fournisseur d’identité lorsque l’acr demandé était élevé (eIDAS3) sur FranceConnect+ : 15 000 €
- Se connecter en utilisant un fournisseur d’identité désactivé sur FranceConnect+ : 15 000 €
- Se connecter en utilisant une fausse identité (existant ou non) sur AgentConnect ou FranceConnect: 10 000 €
- Se connecter en utilisant un fournisseur d’identité désactivé sur AgentConnect ou FranceConnect : 10 000 €
- Se connecter à un prestataire européen en utilisant une fausse identité (existant ou non) grâce à un pont eIDAS : 15 000 €
- Autoriser un fournisseur d’identité blacklisté par un utilisateur : 10 000 €
- Modifier la page d’historique de connexion d’un utilisateur : 10 000 €
Si vous pensez avoir le talent pour dénicher les prochains bugs des plateformes gouvernementales, rendez-vous sur cette page officielle.
🟣 Pour ne manquer aucune news sur le Journal du Geek, abonnez-vous sur Google Actualités. Et si vous nous adorez, on a une newsletter tous les matins.