France Identité lance son Bug Bounty

Dans le cadre du processus bêta de l’application, France Identité fait l’objet d’une chasse aux failles de sécurité (Bug Bounty).

Une chasse aux failles de sécurité

Le Bug Bounty est un programme de récompense mobilisant une communauté d’experts indépendants, composée de hackers et de chercheurs, dans la recherche de failles de sécurité. Chaque faille découverte est récompensée par une prime indexée sur sa criticité et son impact potentiel.

Ce programme ne se substitue pas aux audits plus classiques, mais est une pratique éprouvée de plus en plus plébiscitée par les entreprises pour se prémunir de failles critiques.

Un Bug Bounty en cohérence avec la démarche de transparence de l’application France Identité

Ce dispositif perdure tout au long de la vie de l’application et permettra un audit permanent du code par la communauté. À travers cet engagement, l’objectif de France Identité est d’améliorer durablement la sécurité et de contribuer à la confiance envers ses infrastructures.

Une collaboration avec un acteur déjà expérimenté par les services de l’État

exemple de justificatif à usage unique
Anne-Gaëlle Baudoin (directrice de France Identité) et Gilles Yonnet (CTO de YesWeHack)

Pour son programme de Bug Bounty, France Identité collabore avec la start-up française YesWeHack, partenaire de longue date de l’État. À ce jour, la plateforme apporte déjà ses services et sa communauté de plus de 35 000 hackers à plusieurs organismes publics, dont le ministère des Armées, Cybermalveillance.gouv.fr, la Direction interministérielle du numérique (DINUM) ainsi qu’à l’application TousAntiCovid.

Le Bug Bounty de France Identité se déroule en trois étapes :

  1. Une première étape à laquelle une trentaine de hackers ont été conviés.
  2. Une intégration progressive de nouveaux chercheurs.
  3. Une ouverture à l’ensemble de la communauté YesWeHack (+35 000 chercheurs) sans aucune sélection.

Dans le prolongement de ce Bug Bounty, France Identité publiera progressivement le code source de ses différents dispositifs.

* Pour participer au programme de Bug Bounty, les chercheurs devront être inscrits sur YesWeHack. Vous pourrez alors contacter  en précisant votre identifiant YesWeHack pour signifier votre souhait de participation.