Les hackers « white hat », c’est à dire ceux qui utilisent leurs compétences à des fins éthiques, ou tout simplement les amateurs éclairés peuvent participer à un bug bounty mise en place par la DINUM, la direction interministérielle du numérique. Cette chasse aux bugs peut rapporter gros : jusqu’à 20 000 € !
À la recherche des failles de sécurité
Mais avait de toucher ce jackpot, il faut au préalable avoir déniché une faille de sécurité critique dans FranceConnect ou AgentConnect. Ces deux solutions SSO à authentification unique se basent sur OpenID Connect, un protocole qui s’appuie sur le standard OAuth 2.0. Le premier, FranceConnect, est bien connu des citoyens qui veulent se connecter au site des impôts ou à un compte Ameli. AgentConnect se destine aux fonctionnaires pour accéder à des services gouvernementaux internes.
Évidemment, la sécurité de tels systèmes d’authentification est cruciale. La DINUM s’intéresse plus particulièrement à l’exfiltration de données, l’usurpation d’identité ainsi que la redirection des utilisateurs vers des sites web malveillants. L’agence fournit des outils, un mode d’emploi pour tester des vulnérabilités (par exemple ce site pour tester FranceConnect) ainsi que des dépôts GitHub.
Pour toucher les 20 000 €, il faudra parvenir à se connecter à FranceConnect en utilisant une fausse identité. D’autres récompenses sont également proposées. Et les plus méritants gagneront en plus une place dans un classement public ! Toutes les informations sur ce bug bounty sont à consulter ici.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source : Zataz
20000 euros ! et si ils se font hacker ils perdent combien ?…..
Trop beaucoup trop
Quel est l’intérêt majeur de passer par France Connect ?
Quand on connais la potentielle valeur des informations qu’un hacker peut récupérer… 20k€ c’est bien peu de chose.
Si j’étais capable de hacker le site ce n’est pas 20000€ que j’accepterai mais je ferai un deal pour leur montrer.
Tout à fait raisonnable.