La direction interministérielle du numérique (DINUM), en charge de la transformation numérique de l’État, annonce la mise à jour de ses programmes de Bug Bounty pour Tchap, la messagerie instantanée sécurisée du service public ; et FranceConnect, FranceConnect+, et ProConnect, le système d’authentification unique des services et agents publics en France. En partenariat avec YesWeHack, ces programmes visent à renforcer la sécurité de ces services en encourageant les hackers éthiques à signaler les failles de sécurité qu’ils pourraient identifier.
Dans le cadre de sa
politique de sécurité des systèmes d’information (SSI), l’État a mis en place
des mesures renforcées pour faire face aux menaces numériques grandissantes.
Cette politique s’accompagne d’une augmentation significative des primes offertes
dans le cadre des programmes de Bug Bounty de Tchap, FranceConnect,
FranceConnect+, et ProConnect, afin de favoriser la détection et la correction
rapide des vulnérabilités. L’objectif, à travers l’augmentation des primes, est
également d’encourager une participation toujours plus active de la communauté
des hackers d’intérêt général.
Le plafond des
récompenses pour les vulnérabilités critiques est porté à 20 000€ pour Tchap
(contre 8 000€) et à 30 000€ pour FranceConnect, FranceConnect+ et ProConnect
(contre 20 000€). La détection porte principalement sur des vulnérabilités
liées à de l’exfiltration de données et de l’usurpation d’identité.
Les règles de
contribution exigent d’être le premier à signaler une faille, de proposer une
solution constructive, de ne pas endommager les systèmes, de respecter la
confidentialité des données et d’être totalement indépendant du projet. Chaque
faille ne sera rémunérée qu’une fois : le premier hacker qui l’aura signalée
touchera la prime associée.
Pour participer au
programme de Bug Bounty de FranceConnect, FranceConnect+, et ProConnect, les
hackers éthiques doivent directement s’inscrire ici et ici pour le programme
Tchap. L’inscription est obligatoire sur la plateforme YesWeHack. Après
vérification de leur profil, ils pourront ensuite signaler les failles de
sécurité qu’ils identifient en suivant les instructions fournies sur la
plateforme.
Pour l’État, ces
programmes combinent l’intérêt de détecter des vulnérabilités avant qu’elles ne
causent des dommages, de renforcer sa posture de défense en se confrontant aux
méthodes des attaquants, tout en favorisant une démarche collaborative et transparente
grâce à l’ouverture du code source.
P/Mémoire : ces programmes existent depuis 2019 sur Tchap et depuis 2021 pour FranceConnect.