La société de bug bounty Yogosha missionnée pour traquer les failles du service MaProcuration

Un employé de HackerOne a accédé aux rapports de bugs pour réclamer des primes supplémentaires


Mieux vaut être certain de la sécurité en ligne de sites sensibles. Le ministère de l’Intérieur a fait appel aux hackers de l’entreprise Yogosha pour tester les protections numériques de “MaProcuration”, le service de demande de procuration électorale, vient d’indiquer la société de hacking éthique sur son site.


Pas de failles critiques découvertes

Ce bug bounty, ces chasses aux vulnérabilités d’une cible consentante organisées par une plateforme rassemblant des hackers éthiques, a duré deux mois. Il a “permis de découvrir plusieurs failles”, a expliqué, sans vraiment les détailler, David Crochemore, chef de mission transformation numérique à la Place Beauvau. “Cela dit, les failles n’étaient ni nombreuses, ni critiques, ce qui démontre que nous avions travaillé sérieusement”, a-t-il ajouté.


Le service MaProcuration, mis en place en 2021, permet de dématérialiser en partie la procédure de demande de procuration électorale. Il permet, après s’être authentifié avec FranceConnect, d’accomplir en ligne les formalités administratives. Mais il faut ensuite se rendre dans un commissariat ou dans une gendarmerie pour faire vérifier son identité.


Dizaine de milliers de rapports soumis

Comme le rappelle Yogosha, le bug bounty ne remplace par les autres formes d’audits, comme les tests d’intrusion, mais il les complète. “Les hackers apportent [une] couche de sécurité supplémentaire, en intervenant tout au long du cycle de développement et de vie” des projets numériques, précise l’entreprise.


Yogosha compte également par exemple le spécialiste aéroportuaire Groupe ADP dans ses clients ou des collectivités françaises, qui avaient fait tester l’an passé leurs logiciels métiers. L’entreprise expliquait l’année dernière avoir franchi le cap de la dizaine de milliers de rapports de vulnérabilité soumis sur la plateforme par les hackers éthiques sélectionnés, un chiffre à comparer aux performances du leader du marché, HackerOne, qui revendique avoir déniché plus de 65 000 failles en 2022. 

 



Source link

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.