Le gouvernement, conscient des risques liés à la sécurité numérique, a lancé une opération de « bug bounty » en collaboration avec Yeswehack.com. Une initiative à destination des hackers éthiques, aussi connus sous le nom de « white hat », pour repérer des failles de sécurité. Les cibles de cette chasse aux bugs sont deux systèmes d’authentification : FranceConnect et AgentConnect.
À la recherche des failles de sécurité
FranceConnect, largement utilisé par les citoyens pour accéder aux services publics en ligne comme les impôts ou les comptes de sécurité sociale, et AgentConnect, dédié aux fonctionnaires, sont basés sur OpenID Connect et utilisent le standard OAuth 2.0. La sécurité de ces plateformes est cruciale, car elles gèrent l’accès à des informations sensibles et personnelles.
La DINUM met un accent particulier sur les risques d’exfiltration de données, d’usurpation d’identité et de redirection vers des sites malveillants. Pour aider les participants, l’agence fournit des outils et un mode d’emploi détaillé pour tester les vulnérabilités, ainsi que des accès à des dépôts GitHub spécifiques.
La récompense de 20.000 € est attribuée à celui ou celle qui parviendra à se connecter à FranceConnect avec une fausse identité. D’autres récompenses sont également prévues pour diverses découvertes de vulnérabilités. En plus de l’aspect financier, les participants les plus performants seront reconnus dans un classement public, ce qui ajoute une dimension de prestige à cette compétition de cybersécurité.
Cette initiative n’est pas une première pour le gouvernement. En mai dernier, le ministère de l’Intérieur avait déjà fait appel à des hackers éthiques pour tester la sécurité du site MaProcuration.gouv.fr, qui permet de préremplir une demande de procuration électorale. L’adoption de telles méthodes montre en tout cas la volonté des autorités de renforcer la sécurité des plateformes numériques gouvernementales en s’appuyant sur l’expertise et les compétences des passionnés de cybersécurité.
En s’appuyant sur la communauté des hackers éthiques, le gouvernement ne se contente pas de réagir aux failles de sécurité après leur exploitation, il cherche aussi à les prévenir en amont. Avec à la clé des récompenses sonnantes et trébuchantes.
En mettant en place un bug bounty, les autorités s’inspirent des méthodes qui ont cours dans le secteur privé. Ces chasses aux bugs sont devenues un élément important des stratégies de cybersécurité, puisqu’elles permettent aux organisations de bénéficier de l’expertise d’une grande communauté de chercheurs en sécurité. Elles contribuent à améliorer la sécurité des systèmes en identifiant et en résolvant des failles qui pourraient autrement rester inaperçues ou être exploitées par des acteurs malveillants.
🟣 Pour ne manquer aucune news sur le Journal du Geek, abonnez-vous sur Google Actualités. Et si vous nous adorez, on a une newsletter tous les matins.