Le gouvernement français, dans une démarche proactive, a lancé un défi audacieux aux hackers éthiques : pirater FranceConnect, le système d’identification et d’authentification qui relie les citoyens à divers services gouvernementaux en ligne comme les Impôts ou Ameli. Basé sur OpenID Connect, ce système d’authentification unique (SSO) simplifie l’accès à ces services, non seulement pour les citoyens, mais aussi pour les fonctionnaires se connectant aux services gouvernementaux internes.
Sécurité de FranceConnect : une priorité absolue
La sécurité de FranceConnect est une préoccupation majeure, étant donné la sensibilité des données et services qu’il couvre. La Direction interministérielle du numérique (DINUM) a donc initié un programme de bug bounty sur YesWeHack (via) pour inciter les hackers à identifier et rapporter les failles de sécurité de la plateforme. Les principaux risques identifiés comprennent l’exfiltration de données utilisateurs, l’usurpation d’identité, et les redirections vers des sites malveillants.
Récompenses pour les hackers éthiques : jusqu’à 20 000 euros par faille
Pour stimuler la participation, la DINUM offre des récompenses pouvant atteindre jusqu’à 20 000 euros pour la découverte de failles critiques. Parmi les scénarios récompensés, on trouve l’usurpation d’identité, la connexion avec un fournisseur d’identité désactivé, et l’autorisation d’un fournisseur d’identité blacklisté par un utilisateur. Ces récompenses varient selon la gravité et le type de faille détectée.
Voici le détail des récompenses :
FranceConnect+ :
- Se connecter en utilisant une fausse identité (existante ou non) : 20 000 €
- Connectez-vous avec un acr substantiel (eIDAS2) du fournisseur d’identité lorsque l’acr demandé était élevé (eIDAS3) : 15 000 €
- Connectez-vous en utilisant un fournisseur d’identité désactivé : 15 000 €
AgentConnect, FranceConnect :
- Se connecter en utilisant une fausse identité (existante ou non) : 10 000 €
- Connectez-vous en utilisant un fournisseur d’identité désactivé : 10 000 €
Pont eIDAS :
- Se connecter à un prestataire européen en utilisant une fausse identité (existante ou non) : 15 000 €
Tableau de bord utilisateur :
- Autoriser un fournisseur d’identité blacklisté par un utilisateur : 10 000 €
- Modifier la page d’historique de connexion d’un utilisateur : 10 000 €
![image produit Xiaomi Mi 10 Lite 5G Smartphone 6GB 128GB 6.57'' AMOLED 48MP Quad-caméra 4160mAh (Typical) NFC Bleu [Version Globale]](https://kulturegeek.fr/comparateur/img_products/30977/smartphone-xiaomi-mi-10-lite-128go-5g-bleu-22517_thumb.jpg)
