Passer au contenu

Hackez FranceConnect et remportez le jackpot !

FranceConnect, le système d’authentification des sites du service public (et aussi privé), n’est pas infaillible. Comme tout programme informatique, il peut avoir des failles de sécurité qui sont parfois très difficiles à débusquer. Afin de les repérer, le gouvernement a mis en place un bug bounty qui peut rapporter gros !

Les hackers « white hat », c’est à dire ceux qui utilisent leurs compétences à des fins éthiques, ou tout simplement les amateurs éclairés peuvent participer à un bug bounty mise en place par la DINUM, la direction interministérielle du numérique. Cette chasse aux bugs peut rapporter gros : jusqu’à 20 000 € !

À la recherche des failles de sécurité

Mais avait de toucher ce jackpot, il faut au préalable avoir déniché une faille de sécurité critique dans FranceConnect ou AgentConnect. Ces deux solutions SSO à authentification unique se basent sur OpenID Connect, un protocole qui s’appuie sur le standard OAuth 2.0. Le premier, FranceConnect, est bien connu des citoyens qui veulent se connecter au site des impôts ou à un compte Ameli. AgentConnect se destine aux fonctionnaires pour accéder à des services gouvernementaux internes.

Évidemment, la sécurité de tels systèmes d’authentification est cruciale. La DINUM s’intéresse plus particulièrement à l’exfiltration de données, l’usurpation d’identité ainsi que la redirection des utilisateurs vers des sites web malveillants. L’agence fournit des outils, un mode d’emploi pour tester des vulnérabilités (par exemple ce site pour tester FranceConnect) ainsi que des dépôts GitHub.

Bug Bounty Franceconnect
© DINUM

Pour toucher les 20 000 €, il faudra parvenir à se connecter à FranceConnect en utilisant une fausse identité. D’autres récompenses sont également proposées. Et les plus méritants gagneront en plus une place dans un classement public ! Toutes les informations sur ce bug bounty sont à consulter ici.

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.

Opera One - Navigateur web boosté à l’IA
Opera One - Navigateur web boosté à l’IA
Par : Opera

Source : Zataz


Mickaël Bazoge
Votre opinion
  1. Quand on connais la potentielle valeur des informations qu’un hacker peut récupérer… 20k€ c’est bien peu de chose.

  2. Si j’étais capable de hacker le site ce n’est pas 20000€ que j’accepterai mais je ferai un deal pour leur montrer.

Les commentaires sont fermés.