Il y a plus d’un an, j’ai été invité à un bug bounty privé avec une cible inhabituelle : « France Identité », la nouvelle identification numérique française. Le programme de bug bounty lui-même était décevant, donc je dirais que cela n’en valait probablement pas la peine. Par contre, le périmètre était très intéressant donc pour moi, la partie technique a fini par compenser les aspects négatifs.

Il s’agissait d’une pure approche boîte noire par rapport à la version de préproduction. J’ai reçu un « spécimen » de carte d’identité française, qui ne correspondait évidemment à aucun citoyen réel. Cependant, je n’ai pas reçu de code PIN, je n’ai donc pas pu couvrir entièrement toutes les fonctionnalités mises en œuvre dans le système « France Identité ».

Voyons maintenant ce que j’ai trouvé.