18.10.2022 - Depuis août 2022, l'ensemble de l'administration fédérale dispose d'une plateforme centrale de primes aux bogues. Celle-ci vient d'être inaugurée. Dans le cadre d'une collaboration entre le Centre national pour la cybersécurité (NCSC), le secteur Transformation numérique et gouvernance de l’informatique (TNI) de la Chancellerie fédérale, l'Office fédéral de l'informatique et de la télécommunication (OFIT) et Bug Bounty Switzerland SA, des pirates éthiques ont été mandatés pour parcourir le système central de gestion des accès de la Confédération, eIAM, et déceler les éventuelles failles.
Le système d’accès et d’autorisations de l’administration fédérale est l’infrastructure de connexion centrale de la Confédération. Il est utilisé par plus de 1000 applications spécialisées. L’infrastructure eIAM gère en moyenne 550 000 connexions par jour. La Confédération accorde beaucoup d’importance à sa sécurité.
Pour garantir celle-ci, différentes mesures sont utilisées, dont les programmes de primes aux bogues (bug bounty programme), qui visent à identifier, documenter et corriger, avec l’aide de pirates éthiques, les éventuelles vulnérabilités des systèmes et applications informatiques. Les pirates éthiques, contrairement aux pirates à motivation criminelle, s’engagent à respecter la loi et agissent avec le consentement des acteurs concernés. Après le projet pilote du Centre national pour la cybersécurité (NCSC) mené l’année dernière, le système eIAM a maintenant fait l'objet d'un tel test. Le programme de primes aux bogues, auquel 32 pirates éthiques ont participé, s’est déroulé du 30 août au 11 octobre.
Les vulnérabilités ont été classées en fonction de leur criticité comme « faible » (correction optionnelle), « moyenne » (correction à l’occasion de la prochaine version), « élevée » (correction rapide) ou « critique » (correction immédiate) selon une échelle acceptée dans le monde entier. Au total, 28 vulnérabilités ont été signalées. 14 d’entre elles ont été reconnues comme valables. Les failles ont toutes été immédiatement analysées et traitées. Une vulnérabilité a été considérée comme « élevée ». Neuf ont été considérées comme « moyennes » et quatre comme « faibles ». Aucune vulnérabilité « critique » n’a été trouvée. Le total des récompenses versées aux pirates éthiques pour les failles qu’ils ont découvertes s’élève à 5 700 francs.
Informations du programme de primes aux bogues eIAM:
Pirates interessés aux prochains programmes de primes aux bogues de la Confédération
Les pirates qui souhaitent participer aux prochains programmes de primes aux bogues de la Confédération peuvent s’inscrire à l’adresse suivante :
www.bugbounty.ch/ncsc
Informations coplémentaires
Dernière modification 18.10.2022
