La somme de 20.000 euros est promise à tout "hacker éthique" qui parviendrait à détecter des failles critiques de sécurité des plates-formes gouvernementales FranceConnect et AgentConnect.
Category
🗞
NewsTranscription
00:00 ça va être un jeu de recherche pour trouver peut-être un endroit
00:03 où un développeur a fait une erreur ou un oubli.
00:05 Bitka est hacker et il est en train d'essayer de pirater
00:09 une plateforme du gouvernement.
00:12 Plus précisément France Connect,
00:13 l'application qui permet de vous connecter au site des impôts
00:17 ou celui de l'assurance maladie.
00:19 C'est vraiment un jeu de puzzle en fait.
00:21 En mettant bout à bout des petits morceaux de code
00:23 qui interagissent bizarrement entre eux,
00:25 on peut arriver à trouver une faille et se faufiler dedans
00:28 et arriver à forcer l'application à faire des choses pour lesquelles elle n'est pas prévue.
00:30 S'il réussit ce jackpot, il pourrait remporter jusqu'à 20 000 euros
00:35 directement versés par le ministère du numérique.
00:38 N'importe qui sur internet peut aller regarder le programme
00:41 et après il nous remonte des bugs en décrivant ce qu'ils ont pu voir
00:45 tout en ne heurtant pas notre plateforme.
00:48 Et avec ça on va pouvoir l'analyser
00:50 et derrière établir la criticité de ce qu'ils ont trouvé
00:53 et ainsi décider de la prime qu'on leur octroie.
00:56 Chaque faille est récompensée par une somme d'argent.
00:59 Pour créer un lien de communication entre le ministère et les hackers,
01:02 le gouvernement s'est associé à l'entreprise française YesWeHack
01:06 qui en rassemble 50 000 partout dans le monde.
01:09 L'objectif c'est d'avoir le plus de testeurs possibles
01:11 et les plus compétents possibles pour découvrir ces vulnérabilités
01:14 avant qu'elles ne le soient par des personnes malveillantes
01:17 et donc qu'elles soient exploitées et qu'elles puissent donner lieu à des attaques.
01:19 Ce n'est pas la première fois que le gouvernement fait appel à des hackers
01:22 pour tester la sécurité de ses plateformes.
01:25 Il l'avait déjà fait pour le site maprocuration.gouv.fr.
01:29 Alors Jérôme Biloua, 54% des entreprises françaises
01:32 ont vécu au moins une cyberattaque en 2021.
01:36 Cette opération du gouvernement s'appelle du hacking éthique.
01:40 C'est devenu courant ?
01:41 Les entreprises font appel aux hackers éthiques ?
01:44 C'est une pratique qui se développe énormément
01:46 parce qu'en fait c'est un peu la prochaine génération de la protection cyber.
01:50 Habituellement on crée un système numérique
01:52 et puis on va le tester une fois avec une équipe qui est interne à l'entreprise ou externe.
01:57 Là l'idée c'est de dire, elle va être exposée sur Internet
02:00 et donc je propose à n'importe qui de pouvoir venir la tester,
02:04 d'être payé pour ça et donc ça démultiplie le champ des gens qui vont essayer
02:08 et donc finalement ça démultiplie le niveau de sécurité à la fin.
02:11 Vous avez comme ça en tête des entreprises
02:13 qui ont fait appel à ce hacking éthique ces derniers mois ?
02:17 Alors c'est une pratique qui est venue des États-Unis
02:19 et tous les grands du numérique aujourd'hui,
02:20 que ce soit le Google, Microsoft, Facebook, etc.,
02:24 ont ce type de programme parce qu'au début,
02:27 il y a des gens qui trouvaient ces failles dans les sites
02:29 et puis ils les contactaient, ils essayaient plus ou moins de les monnayer,
02:32 si ça ne payait pas, il les passait sur le marché noir.
02:35 Et donc ils se sont dit, mettons un cadre autour de ça,
02:38 il y a quelque chose à faire et donc maintenant,
02:40 il y a une manière éthique de déclarer ces failles de sécurité.
02:43 Mais en général, ces pratiques de hacking éthique sont efficaces ?
02:47 C'est-à-dire que quand on cherche, on en trouve des failles ?
02:50 Alors voilà, les résultats sont plutôt bons
02:52 parce que justement, on va démultiplier le nombre de cerveaux qui vont regarder.
02:55 Chaque hacker éthique, si vous en prenez un, il va avoir un mode de pensée
02:58 et l'autre, on aura un autre et ainsi de suite.
03:01 Et en fait, en l'ouvrant comme ça largement
03:02 et en rendant attirant grâce au paiement,
03:04 vous allez démultiplier les cerveaux qui vont, entre guillemets,
03:07 essayer de trouver des failles, chercher la petite bête dans les sites.
03:12 Mais là, il n'y a que des hackers bienveillants,
03:14 les vrais hackers, ils ne jouent pas, si ?
03:16 Alors ce qu'il faut voir, c'est qu'effectivement,
03:17 plusieurs grandes familles de hackers,
03:19 on a les hackers éthiques, ceux qu'on nomme habituellement les "white hats".
03:23 De l'autre côté, on a plutôt ceux qu'on appelle les "black hats",
03:27 ceux qui agissent vraiment pour des raisons malveillantes,
03:29 que ce soit des groupes de cybercriminels ou des États,
03:32 ou des activistes parfois.
03:34 Puis au milieu, on a ce qu'on appelle les "gray hats",
03:36 c'est la zone grise, certains qui sont un peu à gauche,
03:38 un peu à droite, qui se cherchent, on va dire.
03:39 Juste une petite question d'actualité.
03:41 Hier, Elisabeth Borne a demandé aux ministres et aux membres des cabines ministérielles
03:44 de renoncer à WhatsApp, Telegram, Signal
03:47 et de leur préférer l'application française Olvid pour échanger les messages.
03:51 C'est une bonne idée ?
03:52 Oui, c'est une bonne idée,
03:53 parce qu'on sait que ces applications que vous avez citées,
03:55 WhatsApp, Telegram, etc., elles sont quand même sécurisées,
03:59 mais pour savoir si elles sont vraiment sécurisées,
04:00 il faut leur faire confiance.
04:02 Ce qu'ils nous disent, on est sécurisés.
04:03 L'avantage avec Olvid, c'est que l'intégralité du fonctionnement de l'application,
04:07 donc son code source, a été donné au gouvernement,
04:10 et a été vérifié par des experts, en particulier notre Agence nationale de sécurité
04:14 et des systèmes d'information, qui ont pu l'évaluer en profondeur.
04:18 Et ça fait une vraie différence entre d'un côté faire confiance et de l'autre côté vérifier.
04:22 C'est pas mal une appli française qui est hyper efficace.
04:25 On ne la connaissait pas, donc qu'est-ce qu'elle a de particulier d'un mot ?
04:27 Alors d'un mot, c'est que fondamentalement, son modèle est différent.
04:30 Vous n'avez pas à avoir un numéro de téléphone
04:32 et vous n'avez pas à envoyer toute votre base de contact à l'acteur qui gère la messagerie.
04:37 Là, les données restent vraiment chez vous.
04:39 Les communications sont chiffrées,
04:40 mais en plus, vous gardez la confidentialité de vos contacts.
04:42 - Merci beaucoup, passionnant.
04:43 Merci beaucoup Jérôme d'être venu nous voir.