La direction interministérielle du numérique lance un la mise à jour de ses programmes de Bug Bounty pour Tchap, la messagerie instantanée sécurisée du service public ; et FranceConnect, FranceConnect+, et ProConnect, le système d’authentification unique des services et agents publics en France.
L’opération se réalise en partenariat avec YesWeHack. Dans ce programme les primes sont augmentées afin de favoriser la détection et la correction rapide des vulnérabilités. L’objectif, à travers l’augmentation des primes, est également d’encourager une participation toujours plus active de la communauté des hackers d’intérêt général.
Le plafond des récompenses pour les vulnérabilités critiques est porté à 20 000€ pour Tchap (contre 8 000€) et à 30 000€ pour FranceConnect, FranceConnect+ et ProConnect (contre 20 000€). La détection porte principalement sur des vulnérabilités liées à de l’exfiltration de données et de l’usurpation d’identité.
Les règles de contribution exigent d’être le premier à signaler une faille, de proposer une solution constructive, de ne pas endommager les systèmes, de respecter la confidentialité des données et d’être totalement indépendant du projet. Chaque faille ne sera rémunérée qu’une fois : le premier hacker qui l’aura signalée touchera la prime associée.
Pour participer au programme de Bug Bounty de FranceConnect, FranceConnect+, et ProConnect, les hackers éthiques doivent directement s’inscrire obligatoirement sur la platge-forme de YesWeHack où après vérification de leur profil, ils pourront ensuite signaler les failles de sécurité qu’ils identifient en suivant les instructions fournies sur la plateforme.
