Publié le 2 avril 2026

Vue d’ensemble AGOV PenTest & Bug Bounty 2023–2025

Vue d’ensemble des tests d’intrusion (PenTests) réalisés et planifiés pour AGOV. Les PenTests ont été effectués par armasuisse en coordination avec les fournisseurs de logiciels, les exploitants des systèmes et le responsable métier.

Chronologie des PenTests AGOV

2023 (rapport du 24.01.2024) : PenTest I

  • Focus : Vérification complète des systèmes centraux AGOV, y compris la gestion des comptes (me.agov.admin.ch), le fournisseur d’identité (idp.agov.admin.ch) et le service d’authentification (auth.agov.admin.ch). Le test a été réalisé sous forme de test White-Box partiel.

Février 2024 : PenTest II

  • Focus : Cette phase s’est concentrée sur le système « HeloITSM ».

Mai 2024 : PenTest III (partie 1)

  • Focus : Vérification du composant AGOV Counter durant les semaines calendaires 19 et 20.

Juin 2024 : PenTest III planifié (partie 2)

  • Détails : Initialement prévu pour AGOV Connect et des re-tests de l’IdP. Ces tests n’ont toutefois pas pu être réalisés comme prévu et ont été reportés au PenTest IV.

Septembre – octobre 2024 : PenTest IV

  • Focus : Vérification du Trust Broker (BTB/STB) ainsi que des modules AGOV Connect, View, Access App et du Nevis IDM.

Avril – mai 2025 : Itération n°1

  • Focus : Processus de récupération de compte AGOV (SMS, OBL, vidéo) du 28 avril au 2 mai.

Octobre 2025 : Itération n°2

  • Focus : Workflows de connexion e-ID et intégration, y compris le Verifier Management Service et OID4VP (OpenID for Verifiable Presentations).

Résultats par PenTest

PenTest I (2023)

Au total, 12 vulnérabilités ont été identifiées :

  • Address Information Disclosure (élevé) : divulgation de données d’adresse via les réponses API.
  • Address Verification Rate Limiting (élevé) : Absence de limite de débit lors de la vérification de l'adresse.
  • Potential Race Conditions (moyen) : plusieurs endpoints sans mécanismes de verrouillage.
  • Address Verification Design (moyen) : défauts de conception dans le processus de vérification.
  • Token Verbosity (moyen) : les tokens contiennent plus d’informations que nécessaire pour le fournisseur de ressources.
  • Insecure Cryptography (moyen) : utilisation d’un chiffrement faible (AES-ECB) pour les tokens de sécurité.
  • Vulnerable JS Library (moyen) : utilisation d’une version obsolète de jQuery (3.3.1) avec des failles connues.
  • Cookie Security (moyen) : diverses lacunes dans la sécurisation des cookies.
  • Strict-Transport-Security Header (moyen) : en-têtes HSTS absents ou mal configurés.
  • Email Changing Race Condition (faible) : possibilité de modifier simultanément plusieurs comptes vers une même adresse e-mail.
  • Address Verification Ignored Field (faible) : un champ non validé pourrait être utilisé pour rediriger des courriers.
  • Content Security Policy (faible) : en-têtes CSP configurés de manière suboptimale sur les sous-domaines.

PenTest III partie 1 (AGOV Counter, mai 2024)

  • Résultats : Aucun résultat (finding) n’a été constaté pour le composant AGOV Counter lors de cette phase.

PenTest 2025 Itération n°1 (processus de récupération de compte)

  • SMS Recovery Code Mass Attack (élevé) : des attaquants pourraient déclencher massivement des codes SMS, entraînant des dommages économiques et une saturation des ressources.
  • Recovery Code Letter (OBL) Mass Attack (élevé) : abus du système pour l’envoi massif de courriers physiques.

PenTest 2025 Itération n°2 (flux e-ID, octobre 2025)

Cinq résultats ont été identifiés :

  • Verifier Management service publicly accessible (moyen) : le service devrait être accessible uniquement en interne.
  • AGOV Account Takeover (élevé/info) : un attaquant pourrait associer une e-ID qu’il a créée lui-même avec le numéro AVS d’une victime (testé dans
  • Verifier APIs improper input validation (faible) : les API ne valident pas les valeurs des champs de manière suffisamment rigoureuse.
  • Swagger enabled (info) : l’interface Swagger facilite la reconnaissance pour les attaquants.
  • Non-sanitized values accepted from e-ID (info) : les données issues de l'e-ID sont acceptées telles quelles.

Vue d’ensemble AGOV Bug Bounty 2023–2025

Les chercheurs en sécurité peuvent participer aux programmes Bug Bounty AGOV. BugBounty Switzerland est le partenaire de plateforme pour la mise en œuvre opérationnelle des programmes. Le NCSC (OFCS) accompagne la mise en œuvre à titre consultatif.

Tableau avec la criticité reconnue par l’équipe de sécurité AGOV (eIAM) et une brève description (basée sur le type de vulnérabilité) pour l’ensemble des résultats issus des deux programmes Bug Bounty :

Private Bug Bounty Programm (eIAM & AGOV)

Public Bug Bounty Programm (AGOV)