Ajouter un commentaire

Un Bug Bounty pour FranceConnect et AgentConnect

Par:
fredericmazue

ven, 01/12/2023 - 13:58

FranceConnect est une solution basée sur le protocole OpenID Connect qui a été développée par le gouvernement français pour permettre aux citoyens de se connecter à de nombreux services en ligne publics et privés, en utilisant leurs identifiants existants auprès de fournisseurs d'identité publics et privés certifiés (IMPOTS, AMELI, La poste identité numérique, ...). AgentConnect est une solution similaire qui permet aux fonctionnaires de se connecter à de nombreux services gouvernementaux internes en utilisant leur identité issue des annuaires existants des agences pour lesquelles ils travaillent.

Pour s'assurer du haut niveau de sécurité de sa plate-forme, le gouvernement a lancé un programme de Bug Bounty, ou chasse aux bugs, via le site YesWeHack. Ainsi, la direction interministérielle du numérique (Dinum) récompensera de 20 000 euros toute personne qui réussira à repérer des failles de sécurité critiques. D'autres primes sont prévues pour les découvreurs de vulnérabilités classées faibles, moyennes, ou hautes.

Les scénarios de recherche privilégiés sont :

  • Exfiltration des données des utilisateurs
  • Utilisation abusive de l'identité des utilisateurs
  • Redirections des utilisateurs vers des sites web malveillants

Le reglèment complet de cette chasse aux bugs ainsi que les conditions d'éligibilité à une récompense sont donnés sur cette page du site YesWeHack.

 

Filtered HTML

Plain text

CAPTCHA
Cette question permet de vérifier que vous n'êtes pas un robot spammeur :-)
 ZZZZZ  U   U      J  L     K  K 
Z U U J L K K
Z U U J L KK
Z U U J J L K K
ZZZZZ UUU JJJ LLLL K K