Table des matières
La Direction interministérielle du numérique (Dinum) offre une prime alléchante de 20 000 euros aux « hackers éthiques » qui parviennent à déceler des failles de sécurité sur les plateformes FranceConnect, le système d’authentification renforcé, et AgentConnect. Cette incitation vise à renforcer la sécurité des services gouvernementaux en ligne et à prévenir toute exploitation malveillante des données des utilisateurs.
La proposition émanant de la Direction interministérielle du numérique (Dinum) promet une gratification de 20 000 euros à toute personne qualifiée de « hacker éthique » qui parviendrait à identifier des failles de sécurité majeures au sein des plates-formes FranceConnect et AgentConnect, utilisées respectivement par les citoyens français et les agents de la fonction publique.
Le programme, orchestré en partenariat avec Yeswehack.com et soutenu par le gouvernement, propose différentes récompenses selon la gravité des failles détectées. Les primes débutent à 100 euros pour des vulnérabilités mineures et peuvent atteindre jusqu’à 3 000 euros pour des failles de sécurité jugées critiques.
FranceConnect, utilisé par les citoyens pour accéder à des services gouvernementaux en ligne tels que le site des impôts ou celui de l’Assurance maladie, est au cœur de cette initiative. Moins connue, la plate-forme AgentConnect assure quant à elle l’identification et l’authentification des agents travaillant dans la fonction publique.
Ce programme, souvent désigné par le terme « Bug Bounty« , a pour objectif de garantir un niveau élevé de sécurité pour ces plates-formes. L’initiative vise à empêcher toute fuite de données, toute utilisation abusive d’identité ou toute redirection d’utilisateurs vers des sites malveillants.
Pour prétendre à une récompense, plusieurs critères doivent être respectés. Le participant doit être le premier à signaler la faille, être capable de se connecter à FranceConnect en utilisant une fausse identité, ou fournir une description précise et détaillée du problème rencontré. De plus, les tests ne doivent pas entraîner de dégradation ou d’interruption du service. Il est également impératif de ne pas manipuler, divulguer ou détruire les données des utilisateurs, et les participants ne doivent avoir aucun lien professionnel avec les entités impliquées dans le processus.
Pour en savoir plus : https://yeswehack.com/programs/franceconnect-agentconnect-public