Table of Contents
Des hackers éthiques Yogosha ont testé la sécurité de MaProcuration, le dispositif numérique de demande de procuration électorale du ministère de l’Intérieur.
Si vous avez donné procuration à un proche pour les dernières élections présidentielle ou législatives, il y a fort à parier que vous ayez eu recours à maprocuration.gouv.fr. Né en 2021, le service simplifie les demandes de procurations électorales en dématérialisant une partie de la procédure.
Le dispositif est accessible à tous les électeurs, et permet de réaliser la majeure partie d’une demande de procuration directement en ligne, après une authentification via FranceConnect. Pour valider la démarche, le mandant doit ensuite faire vérifier son identité dans une brigade de gendarmerie, un commissariat de police ou un consulat. Le gain de temps est non négligeable, puisque toutes les données ont déjà été saisies.
Et si vous n’êtes pas familier du numérique, pas de panique : le dispositif numérique complète la procédure papier sans la remplacer. Dans les deux cas, le mandataire de la procuration n’a aucune démarche à faire – si ce n’est de se rendre dans un bureau de vote le jour de l’élection !
La sécurité numérique au coeur du dispositif MaProcuration
Il est évident que la sécurité des outils numériques mis à la disposition des Français est un sujet central pour le ministère de l’Intérieur, à l’initiative de MaProcuration. Le service est amené à traiter des données citoyennes, et se doit d’être imperméable. Il a donc été testé en profondeur, afin de s’assurer qu’aucune vulnérabilité ne puisse être exploitée par des acteurs mal intentionnés.
Des tests PASSI ont par exemple été menés en amont du déploiement de la plateforme, afin d’en identifier les potentielles vulnérabilités. Depuis, le ministère s’inscrit dans une démarche de contrôle continu, avec des audits réguliers pour s’assurer qu’aucune vulnérabilité nouvelle ne voit le jour. C’est dans ce contexte qu’un bug bounty avec Yogosha a été envisagé, sous l’impulsion du secrétariat général du ministère de l’Intérieur et des Outre-mer.
Des hackers éthiques pour tester la sécurité du service
Le bug bounty est une nouvelle méthode de détection des vulnérabilités. Le principe est simple : faire appel à la communauté des hackers éthiques pour identifier les risques dans les systèmes. Si un hacker découvre un vulnérabilité, il reçoit une prime. En l’absence de détections, les organisations n’ont aucune dépense à engager. Simple et efficace.
Pour autant, il n’est pas question de laisser le champ-libre à n’importe qui. La Yogosha Strike Force est une communauté de hackers vétérans, sélectionnés sur épreuve et dont l’identité est vérifiée. Certains de nos hunters ont fait l’objet d’une attention toute particulière, et ont été retenus pour participer au bug bounty mené sur la plateforme MaProcuration.
“L’audace dont ont fait preuve les équipes MaProcuration à faire confiance à des hackers éthiques marque un vrai changement de paradigme dans l’approche de la sécurisation des systèmes d’information, même les plus sensibles. L’expérience de cette campagne m’a permis de découvrir un nouveau champ des risques cyber liés à des problématiques régaliennes.” – Mathieu Bouvet, Lead CSM at Yogosha
E-Book: Bug Bounty, le guide ultime pour un programme réussi
Apprenez comment mettre en place votre Bug Bounty, le rendre attractif et mobiliser les hackers pour identifier des vulnérabilités à haut risque.
Le bug bounty, l’épreuve du terrain
Le bug bounty ne remplace pas les autres formes d’audits comme le test d’intrusion ; il les complète. Il est important d’opérer une surveillance continue de la sécurité des systèmes même après leur mise en production, que ce soit pour répondre aux enjeux des développements en méthode agile ou à l’évolution rapide du paysage des cybermenaces. Les hackers apportent alors cette couche de sécurité supplémentaire, en intervenant tout au long du cycle de développement et de vie.
C’est avec cette philosophie que le dispositif MaProcuration a été mis à l’épreuve du terrain, à travers deux mois au contact des hackers. C’est ce dont témoigne David Crochemore, chef de la mission transformation numérique de la direction du management de l’administration territoriale et de l’encadrement supérieur au ministère de l’Intérieur :
“Pour nous, le bug bounty a vraiment été complémentaire des autres tests de sécurité et il a apporté sa propre valeur ajoutée. Il nous a permis de découvrir plusieurs failles, qui n’avaient pas été vues auparavant dans l’application. Cela dit, les failles n’étaient ni nombreuses, ni critiques, ce qui démontre que nous avions travaillé sérieusement.” – David Crochemore
On en profite pour rappeler que depuis le 1er janvier 2022, il est possible de donner procuration à une personne inscrite sur la liste électorale d’une commune différente de la vôtre. Donner procuration n’a jamais été aussi facile !
Si vous souhaitez explorer le sujet du hacking éthique dans le cadre du service public, nous vous conseillons de lire :