Cybermalveillance.gouv.fr voit plus large pour son bug bounty

Le bug bounty de Cybermalveillance.gouv.fr prend une autre dimension.

Depuis quelques jours, il est ouvert à l’ensemble des hackers « éthiques » inscrits sur la plate-forme Yes We Hack.

Ils sont donc désormais 15 000 à pouvoir signaler des failles sur la dernière version du site web*.

Un bug bounty était en cours depuis décembre 2019, mais en mode privé, avec une trentaine de participants.
Il avait brièvement été ouvert, fin janvier, à l’assistance du FIC. Les failles détectées sur place étaient traitées en direct et les primes, payées au cours de l’événement.

Pour cette nouvelle phase, le plafond de récompense passe à 1 500 €.
La chasse « collaborative » avec partage des primes est autorisée. Elle tire parti d’une fonction récemment introduite sur Yes We Hack.

Trois axes guident la démarche :

• exfiltration des données de victimes ;
• modification ou altération des conseils et des outils proposés ;
• redirection des demandes de contact vers des tiers indésirables.

La plate-forme étant encore en développement, certains signalement ne donneront pas lieu à des récompenses.

Le contrat initiale avec Yes We Hack court pour un an, avec un appel d’offres à l’échéance. La phase privée du bug bounty a permis d’identifier une quinzaine de vulnérabilités.

* Cette version est en ligne depuis début février. Elle a renforcé, entre autres, le suivi de la relation entre les victimes et les professionnels inscrits sur la plate-forme.