La direction interministérielle du numérique (DINUM), en charge de la transformation numérique de l’État, met à jour ses programmes de Bug Bounty pour la messagerie instantanée sécurisée du service public (Tchap) et le système d’authentification des services et agents publics en France (FranceConnect, FranceConnect+et ProConnect).
En partenariat avec YesWeHack, ces programmes visent à renforcer la sécurité de ces services en encourageant les hackers éthiques à signaler les failles de sécurité qu’ils pourraient identifier. Cette politique s’accompagne d’une augmentation significative des primes offertes afin de favoriser la détection et la correction rapide des vulnérabilités.
Le plafond des récompenses pour les vulnérabilités critiques est porté à 20 000€ pour Tchap (contre 8 000€) et à 30 000€ pour FranceConnect, FranceConnect+ et ProConnect (contre 20 000€). La détection porte principalement sur des vulnérabilités liées à de l’exfiltration de données et de l’usurpation d’identité.
Les règles de contribution exigent d’être le premier à signaler une faille, de proposer une solution constructive, de ne pas endommager les systèmes, de respecter la confidentialité des données et d’être totalement indépendant du projet. Chaque faille ne sera rémunérée qu’une fois : le premier hacker qui l’aura signalée touchera la prime associée.
Pour participer au programme de Bug Bounty de FranceConnect, FranceConnect+, et ProConnect, les hackers éthiques doivent directement s’inscrire ici et ici pour le programme Tchap. L’inscription est obligatoire sur la plateforme YesWeHack. Après vérification de leur profil, ils pourront ensuite signaler les failles de sécurité qu’ils identifient en suivant les instructions fournies sur la plateforme.
Ces programmes existent depuis 2019 sur Tchap et depuis 2021 pour FranceConnect.