Vous aimez nos contenus ?
Recevez chaque jour nos dernières publications gratuitement et directement dans votre boite mail
FranceConnect : 20 000 euros si vous parvenez à pirater le système
publié le 30 novembre 2023 à 13h00.
La Direction interministérielle du numérique (Dinum) propose cette somme à quiconque repère des failles de sécurité.
Gouvernement recherche « hackers éthiques ». Le but est la recherche de failles de sécurité critiques relatives aux deux plateformes que sont FranceConnect et AgentConnect.
Cette opération est menée par Yeswehack.com, bien entendu avec l’aval de l’État français, plus précisément la Direction interministérielle du numérique (Dinum).
Des récompenses par palier
Deux terrains sont donc à investiguer : FranceConnect, plateforme permettant aux citoyens de se connecter à différents services tels ceux de services fiscaux ou Ameli, et AgentConnect qui est réservée aux agents de la fonction publique d’Etat.
La règle est simple, puisque toute personne soulevant une faille de sécurité critique pourra empocher jusqu’à 20 000 euros, la somme étant en rapport avec la sévérité du problème détecté : 100 euros (gravité faible), 800 euros (moyenne) et 3 000 euros (importante).
20 000 euros pour un piratage en règle
Qu’est-il entendu par « faille » ? Tout ce qui concernera des données exfiltrées, une usurpation d’identité ou une redirection vers un site malveillant.
Quant au graal, à savoir la somme de 20 000 euros, elle est conditionnée à une connexion sous une fausse identité à FranceConnect.
Les conditions de ce « bug bounty »
Ce type de récompense est appelé « bug bounty », et il peut être important pour se rassurer sur le niveau de sécurité d’un site, d’une plateforme.
Le participant devra avant tout remplir ces conditions : être le premier à signaler la vulnérabilité, parvenir à se connecter à FranceConnect en utilisant une fausse identité ou faire parvenir une description textuelle claire du rapport avec le détail de toutes les étapes nécessaires à la reproduction du problème.
La personne doit également éviter toute action susceptible d’entraîner une dégradation ou une interruption du service, ou encore ne pas divulguer, manipuler ou détruire les données des utilisateurs ainsi que ne pas être un ancien ou actuel employé, entrepreneur ou auditeur de Dinum, FranceConnect ou AgentConnect, précise BFMTV.