France Identité numérique lance un programme de bug bounty public

France Identité numérique a annoncé, le 28 février 2024, le lancement d’un bug bounty (prime aux bogues) public pour ses deux applications (Android et iOS). Disponibles depuis 2022 en versions bêta, ces applications doivent, à terme, permettre à chaque citoyen français de disposer d’une solution d’identification numérique fiable et robuste. En février 2024, le ministre de l’Intérieur Gérald Darmanin a d’ailleurs annoncé la « généralisation » de France Identité numérique.

Le service a déjà bénéficié d’un premier bug bounty, privé, en juin 2022, coordonné par la plateforme française YesWeHack. Forte de ses 35 000 hackers éthiques inscrits, cette dernière est une nouvelle fois partenaire de France Identité numérique. Les récompenses vont de 100 euros pour la découverte d’une faille mineure à 25 000 euros pour une vulnérabilité critique.

« Le bug bounty concerne de manière exhaustive les applications mobiles ainsi que le backend. Toute la communauté cyber est encouragée à participer à ce bug bounty public pour détecter de potentielles failles dans l’application et ainsi permettre de maintenir un haut niveau de sécurité » Précise France Identité numérique

En novembre 2023, l’ANSSI a accordé une certification de sécurité de premier niveau (CSPN) aux deux applications concernées.