L'organisme public chargé du développement de Tchap, une application de messagerie instantanée destinée aux agents de l’État, prévoit la mise en place d'un « bug bounty ». Il s'agit d'un programme pour récompenser la découverte de failles.

Les débuts de Tchap ont peut-être été laborieux, mais la Direction interministérielle du numérique et du système d’information et de communication de l’État (DINSIC) en a tiré un enseignement : les contributions extérieures peuvent être fort utiles pour rehausser la qualité d’un logiciel. Aussi l’organisme public a-t-il en gestation la mise en place d’un futur « bug bounty ».

La DINSIC a confirmé ce projet dans un communiqué le 19 avril.

Chasse aux bugs

Tchap Il s’agit d’une application de messagerie instantanée destinée aux agents de l’État. Elle permet de tenir des discussions en privé ou dans des salons thématiques, sans passer par des serveurs étrangers. L’application utilise du chiffrement de bout en bout pour sécuriser les conversations. Tchap n’est toutefois pas destiné aux échanges à haut degré de confidentialité.

Un « bug bounty », ou chasse aux bugs en français, est un programme consistant à inviter des tiers à traquer autant de défauts de conception logicielle que possible dans une application ou un site web. Si des vulnérabilités ou des défaillances sont repérées, l’organisation qui pilote le bug bounty verse en échange une somme plus ou moins conséquente selon la gravité du problème.

En règle générale, le programme de récompense prévoit un protocole auquel les participants doivent se plier. La faille doit être signalée selon des procédures précises et elle doit bien entendu demeurer secrète jusqu’à ce que le correctif adéquat soit conçu et déployé. Dans le cas contraire, le ou la spécialiste informatique qui a découvert la brèche peut manquer son gain.

Des hackers éthiques

Si le principe du bug bounty est particulièrement prisé dans le monde de l’entreprise, il est aussi considéré avec intérêt au sein des administrations et des ministères. Preuve en est, par exemple, avec le ministère des Armées : en début d’année, la ministre Florence Parly a annoncé un programme de chasse aux bugs centré sur l’armée, réservé aux « hackers éthiques ».

« La DINSIC se tient à l’écoute des experts de la société civile »

« La DINSIC se tient à l’écoute des experts de la société civile, et prendra en compte tout retour qu’ils lui remonteraient en vue d’améliorer l’application », écrit la DINSIC dans son communiqué. Elle rappelle que l’application, encore en version bêta, fait « l’objet d’une amélioration continue, tant en termes d’ergonomie que de sécurité ». Il est donc plausible que de nouvelles brèches soient repérées.

En opérant un bug bounty, la DINSIC pourra organiser et canaliser la remontée des failles de Tchap, au lieu de les exposer à la viralité et aux commentaires des réseaux sociaux. C’est ce qui s’est passé avec le bug de l’inscription, qui a permis à un expert de tromper la messagerie instantanée pour forcer la création de son compte. L’affaire s’était d’abord retrouvée sur Twitter.

En l’espèce, la vulnérabilité en question résidait, selon la DINSIC, d’un module open source basé sur le langage de programmation Python. Celui-ci est utilisé par Tchap pour filtrer les adresses de courrier électronique au moment de l’ouverture d’un compte. En effet, il faut disposer d’un mail officiel (comme @gouv.fr ou @elysee.fr) pour avoir le droit de s’inscrire.

Partager sur les réseaux sociaux Tweeter Partager Partager Partager redditer

La suite en vidéo