Programmez! #239 PDF pour nos abonnés papier

Abonnés papier : en raison de la situation due au coronavirus, des retards sont à prévoir en ce qui concerne la distribution de Programmez! #239 par La Poste. C'est pourquoi nous mettons Programmez! #239 PDF à disposition dans votre compte utilisateur sous un onglet dédié en attendant. Pour y accéder, il vous suffit de saisir votre n° d'abonné (ou éventuellement le ressaisir comme pour l'accès aux archives) dans votre compte utilisateur, si ce n'est pas déjà fait. Si vous ne connaissez par votre numéro d'abonné, vous pouvez l'obtenir à cette page.

En cas de difficultés, contactez le webmaster à partir du formulaire de contact de ce site.

Une chasse aux bugs est lancée pour la messagerie d'Etat cryptée Tchap

Par:
fredericmazue

lun, 24/06/2019 - 17:09

Le gouvernement français a estimé que les services de l'Etat devaient être dotés d'une messagerie instantanée cryptée et que des Telegram et autres Whatsapp ne pouvaient convenir pour des raisons de sécurité. Un service a donc été développé et lancé le 18 avril dernier : la messagerie d'Etat cryptée Tchap.

Malheureusement, moins de deux heures après le lancement du service, un chercheur en sécurité avait déjà repéré une faille permettant à quiconque de se connecté à ce service 'sécurisé'.

Ce problème a été corrigé rapidement. Toutefois cet épisode fâcheux a incité la direction interministérielle du numérique et du système d’information et de communication de l’État à lancer une chasse aux bugs, ou Bug Bounty afin de traquer d'éventuelles autres vulnérabilités.

Cette chasse aux bugs est lancée sur le site spécialisé dans cette activité Yes We Hack. Sa page dédiée est ici. La page détaille le type de vulnérabilités découvertes pouvant être récompensées, Injection SQL, Cross-Scripting, Exécution de code à distance. Ainsi que les vulnérabilités qui ne sont pas récompensées, comme les attaques en déni de services ou toute tentative physique contre les bureaux ou les centres de données de Tchap :-)

Les récompenses s'échelonnent de 50 à 1500 euros selon le type de vulnérabilités découvertes. Apparemment le gouvernement français n'a pas les moyens financiers d'un Google ou d'un Microsoft lorsqu'il s'agit de chasse aux bugs  :-)

Cette chasse aux bugs n'est pas superflue et les informaticiens font preuve de sens civique et d'efficacité, car plusieurs vulnérabilités ont déjà été découvertes grâce à elle, ainsi que l'indique la page dédiée.