La DINUM (Direction Interministérielle du Numérique) vient de lancer un programme de bug bounty sur la plateforme YesWeHack qui cible FranceConnect. La plateforme française propose aux millions de Français un système d'authentification unique pour l'ensemble des accès aux services gouvernementaux, mais il faut pour cela garantir une sécurité sans faille.
C'est pourquoi le gouvernement invite tous les White Hat à partir en chasse aux failles de sécurité sur OpenID Connect. L'objectif est de repérer les failles éventuelles en vue de les corriger avant qu'elles ne soient exploitées par des pirates à des fins malveillantes.
Le programme se décompose selon trois types de failles précises à repérer au sein de la sécurité :
- Exfiltration des données des utilisateurs
- Utilisation abusive de l'identité des utilisateurs
- Redirection des utilisateurs vers des sites web malveillants.
Ce sont les trois scénarios qui sont le plus souvent à l'oeuvre pour mener à bien des campagnes malveillantes.
La DINUM n'hésite pas à sortir son chéquier pour motiver les pirates éthiques avec plusieurs primes dont la valeur dépend de l'importance. On peut ainsi potentiellement mettre la main sur des primes allant de 100 à 20000 euros.
