France Identité a annoncé, mercredi 28 février, le lancement d’un bug bounty public. Les signalements de failles pourront donner droit à des récompenses allant jusqu’à 25 000€.
La solution du gouvernement France Identité, qui vise à permettre aux citoyens français de générer leur identité numérique, n’a pas vraiment le droit à l’erreur en matière de sécurité. C’est pourquoi le gouvernement a lancé un nouveau programme de Bug Bounty public avec son partenaire YesWeHack, une plateforme qui compte une communauté de hackeurs de forte de 35 000 membres. France Identité avait déjà lancé un programme de Bug Bounty avec YesWeHack en 2022.
Ce nouveau programme « concerne de manière exhaustive les applications mobiles (iOS et Android, ndlr) ainsi que le backend (l'API mobile.france-identite.gouv.fr, ndlr). Toute la communauté cyber est encouragée à participer à ce bug bounty public pour détecter d'éventuelles failles dans l’application et ainsi permettre de maintenir un haut niveau de sécurité », détaille France Identité dans son communiqué.
Les primes iront de 100€ à 25 000€. Leur montant sera déterminé en fonction de la criticité et de l’impact potentiel des vulnérabilités. Les principales sources de préoccupation pour France Identité étant l’exfiltration et l’utilisation abusives des données d’utilisateurs.