Contribuer

Aperçu

Le contrôle par des experts indépendants permet d’identifier des constats et d’améliorer le système de vote électronique.

Les constats avérées et d’autres messages figurent sur GitLab.

Comment contribuer

  • De préférence, signalez-nous les constats que vous avez identifiés sur GitLab. Vous obtiendrez sur cette plateforme un aperçu des différents signalements et pourrez échanger à ce sujet avec notre équipe en charge du vote électronique et avec la communauté.
  • Vous pouvez également effectuer votre signalement via un formulaire en ligne.
  • La Poste récompense, dans le cadre du programme bug bounty, l’auteur(e) du signalement dès lors qu’une faille est confirmée. Vous pouvez, pour des failles confirmées que vous avez saisies via GitLab ou via le formulaire en ligne, demander ultérieurement une récompense en les saisissant en plus sur la plateforme de bug bounty ou en les saisissant directement sur YesWeHack.
  • Veuillez lire le code de conduite avant de nous faire part de votre signalement.

Participez vous aussi au programme bug bounty

Souhaitez-vous en savoir plus au sujet de notre programme bug bounty et vous inscrire pour y participer? Les conditions de participation ainsi que la procédure d’inscription au programme se trouvent sur YesWeHack (site en anglais).

Participer

Contrôle des signalements

Les signalements sont immédiatement analysés par nos spécialistes et nous aident à améliorer notre système de vote électronique. Nous tenons à étudier chaque constat identifiée et à y répondre rapidement.

Le processus de signalement d’un constat est décrit ci-après.

  • Nous vérifions que les signalements reçus sont complets et demandons au besoin des précisions.
  • Un ticket est créé, puis analysé par notre spécialiste compétent(e).
  • La personne ayant effectué le signalement est informée que celui-ci est en cours de traitement.
  • Dès que nous avons pu terminer l’analyse et confirmer l’existence d’un constat, celle-ci est classifiée en tant que «constat confirmé» et publiée sur GitLab.
  • Pour tous les signalements classés comme «importants» ou «critiques», le champ «confidentiel» doit être sélectionné dans le signalement. Ceux-ci sont traités de manière confidentielle. Dans de tels cas, la «Coordinated Vulnerability Disclosure» s’applique.
  • En outre, toute personne effectuant un signalement a la possibilité, quel que soit son degré de gravité, de le soumettre à la Poste de manière confidentielle.

Veuillez prendre en considération notre code de conduite.

Programme CVE

La Poste soutient le programme Common Vulnerabilities and Exposures (CVE). Pour les failles critiques avérées, nous encourageons la saisie d’une faille en tant que CVE et apportons notre aide à la personne ayant signalé la faille pour ce faire.

Procédure d’attribution des récompenses

La Poste offre des récompenses pour les failles confirmées uniquement. Nos récompenses atteignent 100 à 230 000 euros suivant le niveau de gravité de la faille. La grille détaillée des récompenses est disponible sur YesWeHack.

Pour avoir droit à une récompense, il faut s’inscrire et s’identifier sur YesWeHack.

La Poste lance chaque fois le programme bug bounty avec un petit groupe de spécialistes intéressés, et élargit le cercle des participants de manière successive jusqu’à ce que le programme devienne public. Pour le programme bug bounty privé relatif au vote électronique, qui a été transféré dans le programme public début septembre, plus de 1500 hunters avaient été conviés à participer. Ils ont pu soumettre 39 signalements, dont neuf ont par la suite été confirmés. En guise de récompense, la Poste a versé 49 450 euros aux auteur(e)s des signalements.