Une chasse aux bugs est lancée pour la messagerie d'Etat cryptée Tchap
lun, 24/06/2019 - 17:09
Le gouvernement français a estimé que les services de l'Etat devaient être dotés d'une messagerie instantanée cryptée et que des Telegram et autres Whatsapp ne pouvaient convenir pour des raisons de sécurité. Un service a donc été développé et lancé le 18 avril dernier : la messagerie d'Etat cryptée Tchap.
Malheureusement, moins de deux heures après le lancement du service, un chercheur en sécurité avait déjà repéré une faille permettant à quiconque de se connecté à ce service 'sécurisé'.
Ce problème a été corrigé rapidement. Toutefois cet épisode fâcheux a incité la direction interministérielle du numérique et du système d’information et de communication de l’État à lancer une chasse aux bugs, ou Bug Bounty afin de traquer d'éventuelles autres vulnérabilités.
Cette chasse aux bugs est lancée sur le site spécialisé dans cette activité Yes We Hack. Sa page dédiée est ici. La page détaille le type de vulnérabilités découvertes pouvant être récompensées, Injection SQL, Cross-Scripting, Exécution de code à distance. Ainsi que les vulnérabilités qui ne sont pas récompensées, comme les attaques en déni de services ou toute tentative physique contre les bureaux ou les centres de données de Tchap :-)
Les récompenses s'échelonnent de 50 à 1500 euros selon le type de vulnérabilités découvertes. Apparemment le gouvernement français n'a pas les moyens financiers d'un Google ou d'un Microsoft lorsqu'il s'agit de chasse aux bugs :-)
Cette chasse aux bugs n'est pas superflue et les informaticiens font preuve de sens civique et d'efficacité, car plusieurs vulnérabilités ont déjà été découvertes grâce à elle, ainsi que l'indique la page dédiée.