Cybermalveillance.gouv.fr voit plus large pour son bug bounty
Publié par Clément Bohic le | Mis à jour le
Le bug bounty de Cybermalveillance.gouv.fr est sorti de sa phase privée pour s'ouvrir au public sur la plate-forme Yes We Hack.
Le bug bounty de Cybermalveillance.gouv.fr prend une autre dimension.
Depuis quelques jours, il est ouvert à l'ensemble des hackers « éthiques » inscrits sur la plate-forme Yes We Hack.
Ils sont donc désormais 15 000 à pouvoir signaler des failles sur la dernière version du site web*.
Un bug bounty était en cours depuis décembre 2019, mais en mode privé, avec une trentaine de participants.
Il avait brièvement été ouvert, fin janvier, à l'assistance du FIC. Les failles détectées sur place étaient traitées en direct et les primes, payées au cours de l'événement.
Pour cette nouvelle phase, le plafond de récompense passe à 1 500 ?.
La chasse « collaborative » avec partage des primes est autorisée. Elle tire parti d'une fonction récemment introduite sur Yes We Hack.
Trois axes guident la démarche :
La plate-forme étant encore en développement, certains signalement ne donneront pas lieu à des récompenses.
Le contrat initiale avec Yes We Hack court pour un an, avec un appel d'offres à l'échéance. La phase privée du bug bounty a permis d'identifier une quinzaine de vulnérabilités.
* Cette version est en ligne depuis début février. Elle a renforcé, entre autres, le suivi de la relation entre les victimes et les professionnels inscrits sur la plate-forme.