Bug Bounty : les hackers

Bug Bounty : les hackers éthiques invités à participer au renforcement de la sécurité des services numériques de l’État

La direction interministérielle du numérique (DINUM), en charge de la transformation numérique de l’État, annonce aujourd’hui la mise à jour de ses programmes de Bug Bounty pour Tchap, la messagerie instantanée sécurisée du service public ; et FranceConnect, FranceConnect+, et ProConnect, le système d’authentification unique des services et agents publics en France. En partenariat avec YesWeHack, ces programmes visent à renforcer la sécurité de ces services en encourageant les hackers éthiques à signaler les failles de sécurité qu’ils pourraient identifier.

Augmentation significative des primes

Dans le cadre de sa politique de sécurité des systèmes d’information (SSI), l’État a mis en place des mesures renforcées pour faire face aux menaces numériques grandissantes. Cette politique s’accompagne d’une augmentation significative des primes offertes dans le cadre des programmes de Bug Bounty de Tchap, FranceConnect, FranceConnect+, et ProConnect, afin de favoriser la détection et la correction rapide des vulnérabilités. L’objectif, à travers l’augmentation des primes, est également d’encourager une participation toujours plus active de la communauté des hackers d’intérêt général.

Le plafond des récompenses pour les vulnérabilités critiques est porté à 20 000€ pour Tchap (contre 8 000€) et à 30 000€ pour FranceConnect, FranceConnect+ et ProConnect (contre 20 000€). La détection porte principalement sur des vulnérabilités liées à de l’exfiltration de données et de l’usurpation d’identité.

Les règles de contribution exigent d’être le premier à signaler une faille, de proposer une solution constructive, de ne pas endommager les systèmes, de respecter la confidentialité des données et d’être totalement indépendant du projet. Chaque faille ne sera rémunérée qu’une fois : le premier hacker qui l’aura signalée touchera la prime associée.

Comment participer ?

Pour participer au programme de Bug Bounty de FranceConnect, FranceConnect+, et ProConnect, les hackers éthiques doivent directement s’inscrire ici et ici pour le programme Tchap.
L’inscription est obligatoire sur la plateforme YesWeHack. Après vérification de leur profil, ils pourront ensuite signaler les failles de sécurité qu’ils identifient en suivant les instructions fournies sur la plateforme.

Pour l’État, ces programmes combinent l’intérêt de détecter des vulnérabilités avant qu’elles ne causent des dommages, de renforcer sa posture de défense en se confrontant aux méthodes des attaquants, tout en favorisant une démarche collaborative et transparente grâce à l’ouverture du code source.

Ces programmes existent depuis 2019 sur Tchap et depuis 2021 pour FranceConnect.

Visuel de Une : illustration ©DR