FranceConnect : 20 000 € si vous piratez le service, c’est le gouvernement qui paye

Le gouvernement lance une campagne de repérage d'éventuelles failles dans son système FranceConnect. Si vous en découvrez une, ça pourrait vous rapporter jusqu'à 20 000 €.

Chaque fois qu'une entreprise privée ou publique développe un logiciel ou un service numérique, elle fait tester sa sécurité par une équipe interne ou une société externe spécialisée. Mais ce n'est pas le seule moyen à sa disposition. Pour multiplier les chances de découvrir d'éventuelles failles et les corriger avant qu'elles ne soient exploitées, elle peut faire appel à des pirates. Ou plutôt à des “white hat”, des hackers éthiques qui trouvent des bugs pour qu'ils soient corrigés, pas pour en profiter. Un système importé des États-Unis.

Lire aussi – Apple offre 1 million de dollars à qui réussira à hacker l’iPhone

Le gouvernement aussi peut le faire. D'ailleurs il vient de lancer une campagne de ce genre pour tester le service FranceConnect, le système d'identification centralisée permettant d'accéder aux sites administratifs comme les impôts. Le hacker Bitk a choisi de participer : “ça va être un jeu de recherche pour trouver […] un endroit où un développeur a fait une erreur ou un oubli”. Même si le pirate se qualifie d'éthique, il n'est pas bénévole pour autant. S'il découvre une faille, le gouvernement lui verse une prime.

Le gouvernement promet jusqu'à 20 000 € si vous piratez FranceConnect

La récompense atteint au maximum 20 000 €. Elle est versée directement par le Ministère du Numérique. Vous pouvez y prétendre si vous voulez, dans la mesure où “n'importe qui sur Internet peut regarder le programme et nous remonter des bugs en décrivant ce qu'il a pu voir”, explique Anna-Livia Gomart de la Direction interministérielle du Numérique. Chaque trouvaille est ensuite analysée pour “établir [sa] criticité” et décider de la prime octroyée. Car le montant diffère selon la dangerosité de la faille :

• Faible : 100 €.
• Moyenne : 800 €.
• Élevée : 3 000 €.
• Critique : 20 000 €.

Afin d’obtenir un maximum de résultats, le gouvernement s'est rapproché de l'association française YesWeHack qui rassemble 50 000 hackers éthiques partout dans le monde. Rodolphe Harand, son directeur associé, rappelle que “l'objectif est d'avoir le plus de testeurs possibles et les plus compétents possibles pour découvrir les vulnérabilités avant qu'elles ne le soient par des personnes malveillantes”. L'État n'en est pas à son premier coup d'essai, il a déjà fait appel à des hackers pour tester la sécurité du site maprocuration.gouv.fr.

Source : BFMTV