Vous vous y connaissez un peu en piratage des systèmes d’information et vous avez besoin d’argent ? Le ministère de l’Intérieur à un défi lucratif pour vous : tenter de trouver des failles dans la plateforme France Identité.
Lancée en grande pompe en fin d’année 2023, France Identité va venir se frotter aux hackers de tout poil. Pour tester la sécurité de son système et éventuellement corriger des failles qui seraient passées sous le radar, le ministère de l’Intérieur vient de lancer un programme de Bug Bounty. Ouvert à tous et à toutes, ce défi a pour but de « de maintenir un haut niveau de sécurité » sur la plateforme qui, rappelons-le, à pour ambition de dématérialiser votre carte d’identité et votre permis, des documents ô combien personnels.
Des bugs qui rapportent gros
Ce programme public fait suite à un autre bug bounty privé lancé en juin 2022, avant le lancement officiel de France Identité. Cette fois-ci, les sommes en jeu s’étalent de 100 € pour un bug de moindres importances à 25 000 pour la découverte d’une faille critique. De quoi motiver celles et ceux qui aiment les défis et veulent œuvrer pour le bien commun. Sans surprise, le gouvernement recherche tout particulièrement les failles qui permettraient « d’exfiltrer des données utilisateurs » ou « d’usurper l’identité » des utilisateurs ou utilisatrices.
25 novembre 2023 à 13h02
Question technique, le programme concerne aussi bien les applications mobiles iOS et Android que le « backend », soit les serveurs et les logiciels de gestion des données. Les hackeurs et hackeuses intéressés doivent obéir à certaines règles cependant : pas d’attaque DDOS, pas de dévoilement public des données ou des failles potentielles et pas de manipulation du contenu hébergé sur les serveurs.
Ceintures et bretelles pour France Identité
Bien évidemment, cette initiative ne cherche pas à saper la confiance que le grand public peut avoir dans l’application, simplement à prendre toutes les mesures possibles pour livrer un service le plus sécurisé possible. Le ministère de l’Intérieur rappelle tout de même que « plusieurs audits ont été menés sur les applications et le back-end. Ce haut niveau de sécurité permanent a permis à l’ANSSI d’accorder une double certification de sécurité de premier niveau (CSPN) en novembre 2023 pour les deux applications ».
Pour celles et ceux qui souhaitent en savoir plus, la page dédiée sur la plateforme Yes We Hack contient toutes les informations pour s’inscrire et participer à cette grande chasse aux bugs.
- Contrôle total de votre identité
- Simplification de la vérification d'identité
- Accès pratique à de nombreux services en ligne
Source : Ministère de l'Intérieur
