FranceConnect permet de se connecter à Ameli © Pixavril / Shutterstock.com
FranceConnect permet de se connecter à Ameli © Pixavril / Shutterstock.com

Le gouvernement cherche à blinder FranceConnect et les services auxquels il permet de se connecter. Un appel est lancé auprès des chasseurs de prime pour pirater la plateforme d'identification et d'authentification, puis d'en faire le rapport.

La direction interministérielle du numérique (DINUM) a lancé un programme de bug bounty pour FranceConnect sur YesWeHack, un site qui met en relation les administrations et entreprises avec des hackers éthiques. Le but ? Partir à la chasse aux failles de sécurité.

FranceConnect au défi des hackers

Basé sur le protocole OpenID Connect, FranceConnect est une solution à authentification unique (SSO) permettant de se connecter à divers services en ligne publics, comme les Impôts, Ameli ou encore L'Identité Numérique La Poste.

Une autre utilité de FranceConnect est de faciliter la tâche aux fonctionnaires pour se connecter aux différents services gouvernementaux internes, à partir de leurs identifiants de l'agence pour laquelle ils travaillent.

La sécurité d'une telle plateforme est donc critique, et c'est pourquoi la DINUM veut inciter les hackers à tenter de briser ses défenses afin d'en identifier les vulnérabilités et les corriger.

Jusqu'à 20 000 euros pour une faille de sécurité détectée

Trois scénarios principaux préoccupent le service gouvernemental :

  • L'exfiltration des données des utilisateurs
  • L'utilisation abusive de l'identité des utilisateurs
  • Les redirections des utilisateurs vers des sites web malveillants
Tableau du bug bounty France Connect © YesWeHack / DINUM
Tableau du bug bounty France Connect © YesWeHack / DINUM

Pour attirer les hackers, la DINUM promet jusqu'à 20 000 euros de récompense pour l'identification d'une faille de sécurité critique, comme parvenir à se connecter en utilisant une fausse identité (existant ou non). Voici le détail des bountys :

FranceConnect+

  • Se connecter en utilisant une fausse identité (existant ou non) : 20 000 €
  • Connectez-vous avec un acr substantiel (eIDAS2) du fournisseur d'identité lorsque l'acr demandé était élevé (eIDAS3) : 15 000 €
  • Connectez-vous en utilisant un fournisseur d'identité désactivé : 15 000 €

AgentConnect, FranceConnect

  • Se connecter en utilisant une fausse identité (existant ou non) : 10 000 €
  • Connectez-vous en utilisant un fournisseur d'identité désactivé : 10 000 €

Pont eIDAS

  • Se connecter à un prestataire européen en utilisant une fausse identité (existant ou non) : 15 000 €

Tableau de bord utilisateur

  • Autoriser un fournisseur d'identité blacklisté par un utilisateur : 10 000 €
  • Modifier la page d'historique de connexion d'un utilisateur : 10 000 €

Sources : YesWeHack, ZATAZ