France Identité numérique lance un Bug Bounty public avec YesWeHack

Opérationnel depuis le 14 février, le service France Identité numérique, chargé de délivrer les versions dématérialisées des documents d’identité, lance un Bug Bounty public avec la plateforme YesWeHack et ses 35 000 hackers éthiques.

« Le bug bounty concerne de manière exhaustive les applications mobiles ainsi que le backend. Toute la communauté cyber est encouragée à participer à ce bug bounty public pour détecter de potentielles failles dans l’application et ainsi permettre de maintenir un haut niveau de sécurité.» précise un communiqué.

Des primes de de 100 €  à 25 000 €

Sur le site dédié, le programme, lancé depuis le 28 février, détaille  le scope des vulnérabilités à identifier et les primes attribuées en fonction de leur criticité et de leur impact, selon le système CVSS (Common Vulnerability Scoring System). Ces dernières vont de 100 € ( pour les moins critiques) à 25 000 € (pour les plus critiques) avec des paliers intermédiaires.

Looking for new #BugBounty programs? Start hunting on @france_identite 🇫🇷

This app enables French citizens to access service providers using their electronic identity or to provide proof of identity without printing a copy of their identity card. The project aims to facilitate… pic.twitter.com/BoTEgc9TlI

— YesWeHack ⠵ (@yeswehack) February 29, 2024

« Plusieurs audits ont été menés sur les applications et le back-end. Ce haut niveau de sécurité permanent a permis à l’ANSSI d’accorder une double certification de sécurité de premier niveau (CSPN) en novembre 2023 pour les deux applications – iOS et Android.  Dans une logique de transparence, un bug bounty privé avait déjà été lancé en juin 2022. » indique France Identité.

Le service France Identité numérique, lancé en 2018, permet aux utilisateurs d'enregistrer leurs documents d'identité et de produire des justificatifs numériques. Il se compose, en front end, d'une application disponible sur Android et sur iOS ainsi que d'une API.