Pirater un site gouvernemental comme Ameli ou les impôts peut vous rapporter jusqu'à 20 000 euros ! Voici ce qu'il faut savoir.
Vous trouvez cela étonnant ? Pourtant c’est bien réel ! Pirater un site du gouvernement peut vous rapporter une belle somme. Voici ce qu’il faut savoir.
Pirater un site gouvernemental : dans quel but ?
Aussi étonnant que cela puisse paraître, pirater un site gouvernemental peut vous rapporter gros. Mais encore faut-il y arriver ! En effet, ce n’est pas une tâche à la portée de tous. Et le gouvernement prévoit de récompenser les hackers éthiques qui y arrivent.
Le gouvernement Français met à disposition des citoyens plusieurs sites publics. Notamment FranceConnect ou encore le site de l’assurance maladie, Ameli.
Ces sites contiennent des données personnelles et sensibles. Il est donc important de bien les sécuriser. C’est dans ce but là que la direction interministérielle du numérique (DINUM) a mis en place un programme de bug bounty pour FranceConnect et YesWeHack.
Ce dernier est un site qui met en relation les administrations et les entreprises avec des hackers éthiques. Ainsi, leur mission est de pirater les sites pour détecter des failles de sécurité. D’où l’appellation « hackers éthiques ».
Depuis quelque temps, le gouvernement français a mis en place FranceConnect. Il s’agit d’une solution basée sur le protocole OpenID Connect. Et qui permet donc de se connecter à plusieurs services en ligne publics, avec le même identifiant.
D’ailleurs, avec FranceConnect, vous pouvez accéder à votre espace personnel sur Ameli, les Impôts ou encore l’Identité Numérique La Poste. D’un autre côté, FranceConnect facilite aussi la vie des fonctionnaires. Ces derniers peuvent se connecter aux différents services internet en utilisant leurs identifiants de l’agence à laquelle ils sont rattachés.
Jusqu’à 20 000 euros offerts
La DINUM a donc inciter les hackers à pirater ces sites dans le but de détecter des failles de sécurité. Cela leur permet ensuite de les corriger pour renforcer la sécurité de leur plateforme.
Le service gouvernemental est aujourd’hui préoccupé par 3 cas de figure. D’abord, l’exfiltration des données des utilisateurs. Ensuite, l’utilisation abusive de l’identité des utilisateurs. Enfin, les redirections des utilisateurs vers des sites web malveillants.
La DINUM a donc décidé de récompenser les hackers qui l’aident à trouver ses failles de sécurité. Par exemple, se connecter en utilisant une fausse identité sur FranceConnect+ peut rapporter 20 000 euros.
Réussir à se connecter un acr substantiel (eIDAS2) du fournisseur d’identité lorsque l’acr demandé était élevé (eIDAS3) rapporte 15 000 euros. Idem si les pirates arrivent à se connecter utilisant un fournisseur d’identité désactivé.
Pirater FranceConnect en utilisant une fausse identité rapporte 10 000 euros. 10 000 euros aussi pour se connecter avec un fournisseur d’identité désactivé.
Pirater la plateforme eIDAS en utilisant une fausse identité peut aussi rapporter 15 000 euros. Enfin, autoriser un un fournisseur d’identité blacklisté par un utilisateur sur son tableau de bord rapporte 10 000 euros. Et modifier la page d’historique de connexion d’un utilisateur aussi.
Si le gouvernement récompenser les hackers, c’est pour que ces derniers soient plus motivés à les pirater de façon éthique. C’est à dire dans le seul but de détecter des failles de sécurité. Et non dans le but d’utiliser les données des utilisateurs à des fins malveillantes.
Les cyberattaques sont de plus en plus courantes en France. En effet, l’ANSSI a traité en moyenne 10 attaques par mois entre janvier 2022 et juin 2023. Souvent, ce sont les collectivités territoriales qui sont victimes de ces attaques. En effet, elles restent des cibles assez faciles et attirent donc de plus en plus de hackers.