Programme de primes aux bogues pour le système central d’accès de la Confédération eIAM
Berne, 18.10.2022 - Du 30 août au 11 octobre, l’administration fédérale a mené un programme de primes aux bogues sur le système central d’accès de la Confédération eIAM. Les tests effectués par des pirates éthiques ont permis de renforcer la sécurité du système.
Le système d’accès et d’autorisations de l’administration fédérale est l’infrastructure de connexion centrale de la Confédération. Il est utilisé par plus de 1000 applications spécialisées. L’infrastructure eIAM gère en moyenne 550 000 connexions par jour. La Confédération accorde beaucoup d’importance à sa sécurité.
Pour garantir celle-ci, différentes mesures sont utilisées, dont les programmes de primes aux bogues (bug bounty programme), qui visent à identifier, documenter et corriger, avec l’aide de pirates éthiques, les éventuelles vulnérabilités des systèmes et applications informatiques. Les pirates éthiques, contrairement aux pirates à motivation criminelle, s’engagent à respecter la loi et agissent avec le consentement des acteurs concernés. Après le projet pilote du Centre national pour la cybersécurité (NCSC) mené l’année dernière, le système eIAM a maintenant fait l'objet d'un tel test. Le programme de primes aux bogues, auquel 32 pirates éthiques ont participé, s’est déroulé du 30 août au 11 octobre.
Le secteur Transformation numérique et gouvernance de l’informatique (TNI) de la Chancellerie fédérale, responsable du service eIAM, l’Office fédéral de l’informatique et de la télécommunication (OFIT), responsable de son exploitation, et le NCSC, responsable du programme de primes aux bogues, ont mené le projet en collaboration avec la société Bug Bounty Switzerland SA.
Les vulnérabilités ont été classées en fonction de leur criticité comme « faible » (correction optionnelle), « moyenne » (correction à l’occasion de la prochaine version), « élevée » (correction rapide) ou « critique » (correction immédiate) selon une échelle acceptée dans le monde entier. Au total, 28 vulnérabilités ont été signalées. 14 d’entre elles ont été reconnues comme valables. Les failles ont toutes été immédiatement analysées et traitées. Une vulnérabilité a été considérée comme « élevée ». Neuf ont été considérées comme « moyennes » et quatre comme « faibles ». Aucune vulnérabilité « critique » n’a été trouvée. Le total des récompenses versées aux pirates éthiques pour les failles qu’ils ont découvertes s’élève à 5 700 francs.
Ce premier programme de primes aux bogues a permis d’acquérir une expérience précieuse. Il s’est avéré être effectivement un outil efficace pour identifier et corriger les vulnérabilités des systèmes et applications informatiques. La Confédération envisage d’autres contrôles de sécurité externes de ce genre pour eIAM.
Programme de primes aux bogues de la Confédération
Aujourd’hui, les tests de sécurité standardisés ne suffisent souvent plus pour trouver les failles cachées. Le projet pilote mené au printemps 2021 a montré que les programmes de primes aux bogues étaient efficaces pour identifier et corriger les vulnérabilités des systèmes et applications informatiques. Dès lors, la Confédération a décidé d’acquérir, en août 2022, une plateforme pour ce type de programmes. Sous la conduite du NCSC, des pirates éthiques sont invités à chercher les failles des systèmes et applications informatiques de l’administration fédérale dans le cadre de programmes de primes aux bogues. eIAM est la première application à avoir été testée dans ce cadre.
Les pirates qui souhaitent participer aux prochains programmes de primes aux bogues de la Confédération peuvent s’inscrire à l’adresse suivante : www.bugbounty.ch/ncsc
Adresse pour l'envoi de questions
Florian Imbach
Section Communication
Tél. 058 465 47 40
florian.imbach@bk.admin.ch
Communication NCSC
Tél. 058 465 04 64
ncsc-media@gs-efd.admin.ch
Auteur
Chancellerie fédérale
https://www.bk.admin.ch/bk/fr/home.html
Département fédéral des finances
http://www.dff.admin.ch
Secrétariat général DFF
http://www.efd.admin.ch
Office fédéral de l'informatique et de la télécommunication
http://www.bit.admin.ch
