Contribuer

Aperçu

Le contrôle par des expertes et experts indépendants permet d’identifier des failles et d’améliorer le système de vote électronique.

Vous trouverez ci-après quelques chiffres sur les failles signalées à la Poste depuis le lancement du programme de la communauté début 2021. Les failles avérées sont catégorisées en fonction de leur degré de gravité.

Total des signalements 138
Failles «critiques»
0
Failles «élevées»
4
Total des récompenses versées
€ 102 500

Ces informations sont régulièrement mises à jour (état actuel: 11.05.2022).

Vous trouverez un aperçu de tous les signalements sur GitLab.Target not accessible

Comment contribuer

 

  • De préférence, signalez-nous les failles que vous avez identifiées sur GitLab. Vous obtiendrez sur cette plateforme un aperçu des différents signalements et pourrez échanger à ce sujet avec notre équipe en charge du vote électronique et avec la communauté.
  • Vous pouvez également effectuer votre signalement en envoyant un message crypté (IncaMail) ou en remplissant un formulaire en ligne.
  • La Poste récompense, dans le cadre du programme bug bounty, l’auteur(e) du signalement dès lors qu’une faille est confirmée. En enregistrant en plus les constats sur la plateforme bug bounty ou en les saisissant directement sur YesWeHack, vous pouvez demander ultérieurement une récompense pour les failles confirmées que vous avez soumises sur GitLab, via IncaMail ou au moyen du formulaire en ligne.
  • Veuillez lire le code de conduite avant de nous faire part de votre signalement.

Participez maintenant au programme bug bounty

Souhaitez-vous en savoir en plus sur notre programme bug bounty et vous y inscrire? Conditions de participation et inscription sur YesWeHack.

Participer

Contrôle des signalements

Les signalements sont immédiatement analysés par nos spécialistes et nous aident à améliorer notre système de vote électronique. Nous tenons à étudier chaque constat identifiée et à y répondre rapidement.

Le processus de signalement d’un constat est décrit ci-après.

  • Nous vérifions que les signalements reçus sont complets et demandons au besoin des précisions.
  • Un ticket est créé, puis analysé par notre spécialiste compétent(e).
  • La personne ayant effectué le signalement est informée que celui-ci est en cours de traitement.
  • Dès que nous avons pu terminer l’analyse et confirmer l’existence d’un constat, celle-ci est classifiée en tant que «constat confirmé» et publiée sur GitLab.
  • Pour tous les signalements classés comme «importants» ou «critiques», le champ «confidentiel» doit être sélectionné dans le signalement. Ceux-ci sont traités de manière confidentielle. Dans de tels cas, la «Coordinated Vulnerability Disclosure» s’applique.
  • En outre, toute personne effectuant un signalement a la possibilité, quel que soit son degré de gravité, de le soumettre à la Poste de manière confidentielle.

Veuillez prendre en considération notre code de conduite.

Programme CVE

La Poste soutient le programme Common Vulnerabilities and Exposures (CVE). Pour les failles critiques avérées, nous encourageons la saisie d’une faille en tant que CVE et apportons notre aide à la personne ayant signalé la faille pour ce faire.

Procédure d’attribution des récompenses

La Poste offre des récompenses pour les failles confirmées uniquement. Nos récompenses atteignent 100 à 230 000 euros suivant le niveau de gravité de la faille. La grille détaillée des récompenses est disponible sur YesWeHackTarget not accessible.

Pour avoir droit à une récompense, il faut s’inscrire et s’identifier sur YesWeHackTarget not accessible.

La Poste lance chaque fois le programme bug bounty avec un petit groupe de spécialistes intéressés, et élargit le cercle des participants de manière successive jusqu’à ce que le programme devienne public. Pour le programme bug bounty privéTarget not accessible relatif au vote électronique, qui a été transféré dans le programme public début septembre, plus de 1500 hunters avaient été conviés à participer. Ils ont pu soumettre 39 signalements, dont neuf ont par la suite été confirmés. En guise de récompense, la Poste a versé 49 450 euros aux auteur(e)s des signalements.