Le piratage (légal) d’un site gouvernemental comme les Impôts ou Ameli peut vous rapporter gros !

La sécurité de FranceConnect est une priorité absolue, compte tenu de la nature sensible des données et des services qu'il englobe. La Direction interministérielle du numérique (DINUM) a pris des mesures proactives en lançant un programme de bug bounty sur la plateforme YesWeHack, invitant ainsi les hackers éthiques à découvrir et signaler les éventuelles failles de sécurité du système. Parmi les principaux risques identifiés figurent la fuite de données utilisateur, l'usurpation d'identité et les redirections vers des sites malveillants.Des incitations financières significatives ont été mises en place pour encourager la participation des hackers éthiques, avec des récompenses pouvant atteindre jusqu'à 20 000 euros pour la découverte de failles critiques. Les scénarios récompensés comprennent l'usurpation d'identité, la connexion avec un fournisseur d'identité désactivé et l'autorisation d'un fournisseur d'identité blacklisté par un utilisateur. Les récompenses sont différenciées en fonction de la gravité et du type de faille détectée.

Voici le détail des récompenses pour différentes situations 

FranceConnect+ :

• Se connecter en utilisant une fausse identité (existante ou non) : 20 000 €
• Connecter avec un acr substantiel (eIDAS2) du fournisseur d’identité lorsque l’acr demandé était élevé (eIDAS3) : 15 000 €
• Se connecter en utilisant un fournisseur d’identité désactivé : 15 000 €

AgentConnect, FranceConnect :

• Se connecter en utilisant une fausse identité (existante ou non) : 10 000 €
• Se connecter en utilisant un fournisseur d’identité désactivé : 10 000 €

Pont eIDAS :

• Se connecter à un prestataire européen en utilisant une fausse identité (existante ou non) : 15 000 €

Tableau de bord utilisateur :

• Autoriser un fournisseur d’identité blacklisté par un utilisateur : 10 000 €
• Modifier la page d’historique de connexion d’un utilisateur : 10 000 €