Jusqu'à 20.000 euros: pirater FranceConnect peut vous rapporter gros

Vingt mille euros. C'est la coquette somme promise par la direction interministérielle du numérique (Dinum) à quiconque repérerait des failles de sécurité critiques dans FranceConnect et AgentConnect.

Le premier est un système d’authentification qui permet aux citoyens français de se connecter à de nombreux services en ligne publics (impot.gouv.fr, Ameli...). Le second est le dispositif d'identification et d'authentification pour les agents qui exercent au sein de la fonction publique d'Etat.

L'évènement, organisé par le site Internet Yeswehack.com, est organisé dans le cadre d'un "bug bounty", une opération qui permet aux éditeurs de logiciels de corriger les failles de leurs programmes en récompensant les utilisateurs qui signalent des bugs.

Connexion avec une fausse identité

Dans ce contexte, la Dinum entend s'appuyer sur ces "bénévoles" pour détecter des failles liées à l’exfiltration de données, l’usurpation d’identité ou encore la redirection des utilisateurs vers des sites web malveillants.

Pour mener à bien cette mission, les participants seront dotés d'outils fournis par l'agence ainsi qu'un mode d’emploi pour tester les potentielles vulnérabilités des deux plateformes gouvernementales. Mais pour empocher la récompense, il faudra également parvenir à se connecter à FranceConnect en utilisant une fausse identité.

Ce n'est pas la première fois que le gouvernement fait appel à des "hackers éthiques" pour éprouver la résistance de ses plateformes en ligne. Le 15 mai dernier, le ministère de l'Intérieur avait fait appel à eux pour tester la sécurité du site MaProcuration.gouv.fr qui permet de préremplir une demande de procuration électorale.