/image%2F0977250%2F20140708%2Fob_ce0751_fo-gd.JPG)
CYBERSECURITE
Les “hackers éthiques” creusent leur sillon dans les administrations
Plus de quatre ans après le lancement d’une première chasse aux failles informatiques par la DSI de l’État, l’organisation de ces bug bounties se diffuse, lentement mais sûrement, dans les administrations. Pour leurs organisateurs, il ne s’agit pas de la dernière mode du moment, mais d’un véritable outil complémentaire pour parfaire la sécurité des services numériques publics.
Vingt mille euros pour dénicher une vulnérabilité dans FranceConnect ? L’information a fait grand bruit fin novembre. Le 7 novembre, la direction interministérielle du numérique (Dinum) mettait en effet à jour son programme de bug bounty public sur les services FranceConnect, FranceConnect+ et AgentConnect. Trois solutions pour permettre aux usagers de se connecter de manière simplifiée, et à des degrés plus ou moins sécurisés aux démarches en ligne, et aux agents publics d’accéder à leurs outils numériques de travail.
La Dinum a ensuite communiqué publiquement sur ce programme, qui ne date pourtant pas d’hier, histoire de surfer sur la vague, et d’en faire un levier d’attractivité pour des métiers très pointus et très demandés. “Cela permet de montrer ce que nous produisons à la Dinum, de faire valoir notre culture de l’open source, et d’attirer l’attention des experts de la communauté SSI [sécurité des systèmes d’information, ndlr]”, admet Anna-Livia Gomart, directrice adjointe du nouvel opérateur de produits interministériels de la Dinum, où de nombreux recrutements sont prévus pour assurer la montée en gamme des services numériques de l’État.
Ce n’est pas la première fois que la Dinum se plie à l’exercice, souvent associé à une opération de communication pour rassurer les utilisateurs sur la sécurité de l’outil ciblé. C’est ainsi, par exemple, que la DSI de l’État avait sollicité pour la toute première fois l’appui de ces chercheurs en sécurité informatique, en 2019, pour son application de messagerie instantanée et sécurisée Tchap. Et ce après qu’un hacker eut justement trouvé des failles dans l’application juste après son lancement.
L’application d’identité numérique du ministère de l’Intérieur entame son baptême du feu
Le gouvernement avait ensuite lancé une même chasse aux failles autour de la controversée application de contact tracing StopCovid (devenue TousAntiCovid) après le premier confinement de 2020. Même sort pour le dossier médical numérique “Mon espace santé” fin 2021. Ce fut enfin au tour du ministère de l’Intérieur de soumettre en 2022 la demande en ligne de procuration de vote (MaProcuration) et son application “France Identité numérique” à des experts triés sur le volet. Du moins dans un premier temps.
Un programme entièrement public, et donc ouvert à tous les experts en sécurité informatique, sera lancé début 2024 pour pousser encore plus loin la recherche de failles sur l’identité numérique régalienne avant sa généralisation dans toute la France. “Cela doit nous permettre de nous assurer qu’il n’existe aucun angle mort exploitable par des attaquants, assure le responsable de la sécurité informatique de France Identité numérique, Mohammed Najam. Et en même temps, il nous faut instaurer un climat de transparence et de confiance, à la fois avec le grand public qui sera utilisateur de l’application, et avec la communauté d’experts.”
Le “nec plus ultra” de la sécurité
Si tous les bug bounties ne sont pas rendus publics, leur nombre reste encore marginal dans le secteur public. Les organisateurs interrogés par Acteurs publics en sont pourtant tous convaincus : le bug bounty n’est pas une mode, mais un véritable complément aux traditionnels audits de sécurité.
C’est même le nec plus ultra de la sécurité informatique, assure Antoine Cotillard, DSI de la ville de Chelles et président de l’association CoTer numérique, qui a organisé avec l’appui de l’Anssi le premier bug bounty consacré aux collectivités locales. “Il y a encore quelques années, les administrations étaient méfiantes vis-à-vis des des bug bounties et des hackers « prétendument éthiques », mais cette étape de maturité a été franchie et le bug bounty est davantage perçu comme l’outil « cerise sur le gâteau » pour sécuriser une application, en complément des méthodes plus classiques”, assure-t-il.
Quand les collectivités font la chasse aux failles informatiques
Au total, 15 applications de 15 éditeurs de logiciels très présents dans les collectivités ont été ou vont être prochainement passées à la moulinette du bug bounty. “Nous avons pu identifier dans une application une faille qui avait échappé à plusieurs procédures de test”, relate le DSI, selon lequel la force du bug bounty est de solliciter différents experts aux approches, compétences et méthodes variées.
C’est cette même diversité qui a séduit le responsable de la sécurité de France Identité numérique. Il n’a d’ailleurs pas hésité à placer la barre haut, avec des récompenses à 20 000 euros pour les failles les plus critiques. “Le programme doit être assez séduisant pour que les bons chercheurs lui consacrent de l’énergie et du temps, chacun avec ses propres moyens”, explique le RSSI, qui voit cet outil vraiment comme un complément des audits et certifications.
Une nouvelle routine ?
Pour ceux qui s'y sont déjà essayés, le bug bounty commence à devenir une habitude. Au ministère de l’Intérieur, le service du haut fonctionnaire de défense (SHFD) met désormais à disposition une plate-forme pour tous les services du ministère, et le bug bounty est “désormais intégré dans le panel des outils de sécurité utilisés dans le cadre de l’homologation de sécurité des services numériques”, assure-t-on place Beauvau. Il a donc “vocation à être de nouveau utilisé, sur d’autres services, ainsi que sur MaProcuration, lorsque l’autorité d’homologation l’estimera nécessaire”.
À la Dinum, le bug bounty a lui aussi vocation à s’intégrer dans une stratégie de montée en gamme de ses produits numériques, lancés rapidement dans une version minimale, souvent en mode start-up d’État, et sans faire de la sécurité la priorité. “Désormais, nous créons des services que nous améliorons en continu, rappelle Anna-Livia Gomart. C’est pourquoi nous devons aussi faire évoluer notre approche de la sécurité en ajoutant une couche supplémentaire qui tienne compte de cette amélioration au fil de l’eau.”
Plus question de rester passif et d’attendre que des failles soient dénichées pour réagir et les corriger, la Dinum entend institutionnaliser les bug bounties pour ses services numériques les plus matures et consacrer du temps à animer les communautés d’experts. Et ainsi détecter des failles avant qu’elles ne puissent être exploitées. La direction n’en dit pas plus sur les prochaines chasses aux vulnérabilités qu’elle lancera, mais elles devraient porter sur des outils particulièrement exposés ou dont la fonction est justement de sécuriser les interactions en ligne.
ACTEURS PUBLICS : article publie le mercredi 13 décembre 2023 & EMILE MARZOLF
435 failles détectées sur les programmes publics
Pour attirer les hackers et augmenter les chances de trouver des failles, les organisateurs de bug bounties peuvent jouer sur différents paramètres. D’abord, le programme peut être soit totalement public, et donc accessible à l’ensemble des experts référencés par telle ou telle plate-forme de bug bounty, soit privé, et donc réservé à un cercle restreint d’experts soumis au secret. Tout dépend ensuite du montant des récompenses proposées en fonction de la criticité de la faille détectée. À ce jour, plus de 187 signalements ont été déposés concernant Tchap, avec des primes oscillants entre 100 et 4 000 euros. Le trio FranceConnect, FranceConnect+ et AgentConnect comptabilise, lui, 32 signalements pour des primes entre 100 et 20 000 euros (contre 10 000 avant novembre). Au total, 435 failles ont donc été remontées pour les programmes publics réalisés sur la plate-forme spécialisée Yes We Hack (sur Tchap, Mon espace santé, FranceConnect, Cybermalveillance)
/https%3A%2F%2Fassets.over-blog.com%2Ft%2Fcedistic%2Fcamera.png)
