Annonce d'une faille ou divulgation coordonnée d'une vulnérabilité (coordinated vulnerability disclosure, CVD)

Vulnérabilités du «Certificate COVID»

Pour les vulnérabilités dans le «Certificate COVID», veuillez utiliser notre formulaire de rapport spécial.

Vulnérabilités dans le système «SwissCovid Proximity Tracing System»

Pour les vulnérabilités dans le système «SwissCovid Proximity Tracing System», veuillez utiliser notre formulaire de rapport spécial.

Vulnérabilité générale

Avez-vous identifié une faille dans des systèmes informatiques du gouvernement suisse ou dans des infrastructures critiques? Ou avez-vous découvert une faille dans des applications, des logiciels ou du matériel informatique disponibles sur le marché? La règle d'or à appliquer consiste à en informer directement le vendeur ou l'exploitant du système concerné. Si ces derniers ne réagissent toutefois pas à votre annonce ou si leur réponse est insuffisante, la centre national pour la cybersécurité (ncsc.ch) peut servir d'intermédiaire pour résoudre de tels problèmes de sécurité. Cette formulaire est à votre disposition pour toute annonce de failles.

Comment nous communiquer une annonce de faille (CVD)?

  • Veuillez remplir le formulaire ci-dessous en indiquant les détails de votre découverte. Ajoutez l'indication de votre clé PGP publique, afin de garantir une communication immédiate et sûre avec la plateforme NCSC.ch.
  • Fournissez le plus d'informations possible, car cela permettra d'assurer la reproductibilité de la faille et d'accélérer le processus de résolution du problème.
  • Dans le cas de failles relativement complexes, nous aurons probablement besoin de prendre directement contact avec vous. Veuillez par conséquent nous indiquer au moins une adresse électronique ou un numéro de téléphone.
  • Vous pouvez utiliser à cet effet la clé PGP de l'adresse vulnerability [at] ncsc.ch.
 
 

PGP Key - vulnerability [at] ncsc.ch (ASC, 3 kB, 07.06.2021)Fingerprint:
85CF EF1B 517B A4A4 B161 6953 B0BC 0026 B7E3 7415


Notifier le résultat d'un test

*
Courte description de la vulnérabilité (au maximum 250 caractères).
 
Description niveau de gravité voir ci-dessous sur cette page.
*
Présentez votre découverte de manière aussi détaillée que possible afin que nous puissions reproduire le problème et le résoudre au plus vite.
 
Décrivez les répercussions qu’entraîne cette vulnérabilité. Sur quels éléments l’exploitation de la faille a-t-elle une incidence?
 
Si disponible, une approche de solution peut être décrite ici.
 
Utilisez des fichiers ASCII (par exemple Markdown) pdf ou png pour la documentation.
*

Informations personnelles (facultatif)

Vous pouvez nous transmettre vos coordonnées personnelles. Cela nous permettra de prendre contact avec vous au cas où nous aurions des questions supplémentaires. 

 
 
 
 
Vous pouvez joindre ici votre clé publique PGP.
 


Définition: Niveau de gravité

Le degré de gravité d’une vulnérabilité peut être déterminé au moyen du «Common Vulnerability Scoring System» (CVSS). Le site Web du Forum of Incident Response and Security Teams met à disposition un outil interactif permettant d’effectuer cette évaluation (en anglais uniquement): https://www.first.org/cvss/calculator/3.0.

Critique (score CVSS v3: 9.0-10.0): une des caractéristiques des vulnérabilités critiques est qu'il n'est pas nécessaire d'avoir une interaction avec la personne ciblée. Ainsi, l'attaquant n'a pas besoin d'obtenir au préalable des informations particulières concernant sa cible. Un exemple typique de vulnérabilité critique est l'exécution de code à distance (Remote Code Execution). Cette catégorie de vulnérabilité peut être à l’origine, entre autres, de fuites de données personnelles ou de la perte d'anonymat.

Élevé (score CVSS v3: 7.0-8.9): pour pouvoir exploiter cette vulnérabilité, il est nécessaire d'interagir avec un utilisateur (ingénierie sociale). De cette manière, l'attaquant peut obtenir des privilèges étendus. Cette catégorie de vulnérabilité peut être à l’origine de fuites de données.

Moyen (score CVSS v3: 4.0-6.9): l'accès permettant d'exploiter cette vulnérabilité est restreint. En outre, l'attaquant doit se trouver dans le même système que sa victime. Cette catégorie de vulnérabilité ne concerne pas les données ou concerne uniquement une partie de celles-ci.

Faible (score CVSS v3: 0.1-3.9): cette vulnérabilité n'a pas d’incidence sur les fonctionnalités ou les données. Les problèmes de mise en page et les fautes d’orthographe appartiennent également à cette catégorie.

 

Dernière modification 08.06.2021

Début de la page

https://www.ncsc.admin.ch/content/ncsc/fr/home/infos-fuer/infos-it-spezialisten/themen/schwachstelle-melden.html