Le gouvernement français a lancé un programme de primes de bugs sur invitation uniquement pour sa nouvelle application d’authentification d’identité, « France Identité ».
Hébergé par la plateforme de piratage éthique basée à Paris YesWeHack, le programme sera éventuellement ouvert à tous les chercheurs en sécurité, puis fonctionnera pendant toute la durée de vie de l’application mobile, explique un YesWeHack article de blog publié aujourd’hui (13 juin).
Une trentaine de hackers éthiques ont été invités à commencer à sonder l’application à la recherche de failles de sécurité à partir du 8 juin.
Selim Jaafar, responsable de la réussite client chez YesWeHack, a déclaré : « Pour cette première étape d’un programme privé, nous avons aidé France Identité à sélectionner des chercheurs ayant des compétences spécifiques sur les technologies utilisées par l’application ; notamment dans le domaine de la cryptographie, qui est au cœur de ce service.
Dans la deuxième phase du programme, à partir d’une date encore à confirmer, un deuxième groupe de chercheurs sera invité à rejoindre le programme avant qu’il ne soit finalement relancé en tant qu’entreprise publique.
Identification numérique
La France Identité permet aux citoyens français de valider leur identité lors de l’utilisation des services gouvernementaux ou de voyages à l’étranger en envoyant des documents d’identité numériques sécurisés à usage unique.
L’application mobile a été lancée plus tôt cette année pour compléter les nouvelles cartes d’identité électroniques françaises, qui ont remplacé leurs prédécesseurs non numériques en août 2021.
Actuellement en mode bêta, l’application prendra également en charge les passeports et les permis de séjour d’ici la fin de 2022.
Le programme France Identité bug bounty est géré conjointement par le secrétariat d’État au numérique et les ministères français de l’intérieur, de la justice, de la transformation et de la fonction publique.
YesWeHack a déjà de l’expérience dans la gestion de programmes de primes de bogues pour des entités gouvernementales françaises, notamment le ministère français de la Défense, l’Agence de transformation numérique, un site Web du gouvernement français qui soutient les victimes de cyberattaques et une application de recherche de contacts Covid-19.
Dans le Bug Bounty Radar de ce mois-ci, a également révélé le lancement d’un nouveau programme YesWeHack par le ministère de la Cybersécurité et du Numérique du Québec.