Annonce d'une faille ou divulgation coordonnée d'une vulnérabilité (Coordinated Vulnerability Disclosure, CVD)

Vous avez découvert une vulnérabilité dans un système informatique ou encore dans une application, un logiciel ou du matériel informatique disponible sur le marché et vous souhaitez la signaler? La règle d'or à suivre consiste à signaler la vulnérabilité directement au vendeur ou au propriétaire du système. S'ils ne réagissent pas à votre annonce ou si leur réponse est insuffisante, l'OFCS peut servir d'intermédiaire pour résoudre le problème de sécurité.

Différents moyens permettent de signaler une vulnérabilité.

Biens de l'administration fédérale

Si vous avez découvert une vulnérabilité technique dans un système informatique, une application ou du matériel informatique de l'administration fédérale, signalez-la à l'OFCS au moyen du formulaire ci-dessous. Veuillez vous conformer à notre politique commune en matière de divulgation des vulnérabilités pour effectuer votre signalement en bonne et due forme.

Autres biens

Si vous avez découvert une vulnérabilité dans un système informatique ou un produit autre que ceux de l'administration fédérale, mais non dénué d'incidences pour la Suisse, signalez toujours la vulnérabilité d'abord au propriétaire du système ou au fournisseur du produit. Signalez-la à l'OFCS uniquement si ces derniers ne prennent pas les mesures qui s'imposent. En pareil cas, l'OFCS interviendra en sa qualité d'intermédiaire et leur signalera lui aussi la vulnérabilité.

Publication des CVE

Si vous avez découvert une vulnérabilité dans une application, un logiciel ou du matériel informatique utilisé par les entreprises suisses, l'OFCS peut coordonner la publication de cette CVE (abréviation anglaise désignant les vulnérabilités et expositions communes), en sa qualité d'autorité habilitée à attribuer des numéros CVE.

Note importante sur les critères d'obtention du CVE:

Pour garantir un traitement plus rapide de votre demande de CVE, assurez-vous que vous avez préparé une référence publique conformément aux exigences de MITRE. Cette référence doit au minimum

  • mentionner la vulnérabilité (au moins le numéro CVE + les versions affectées);
  • être accessible depuis l'internet.

Pour faciliter le processus, veuillez créer un brouillon dans le «Vulnogram» et inclure le JSON correspondant dans votre demande de CVE.

Si la vulnérabilité signalée affecte un service en cloud, assurez-vous qu'il est conforme à l'exigence 7.4.4 des règles d'attribution«The vulnerability requires customer or peer action to resolve».

Comment nous communiquer une annonce de vulnérabilité?

  • Remplissez le formulaire ci-dessous en détaillant votre découverte. Indiquez votre clé PGP publique pour que l'OFCS puisse se mettre en rapport avec vous immédiatement et en toute sécurité.
  • Fournissez un maximum d'informations; cela permettra d'assurer la reproductibilité de la vulnérabilité et d'accélérer le processus.
  • Dans le cas des vulnérabilités relativement complexes, l'OFCS devra peut-être prendre directement contact avec vous. Veuillez par conséquent indiquer au moins une adresse électronique ou un numéro de téléphone.
  • Pour que la communication soit cryptée, utilisez la clé PGP de l'adresse vulnerability [at] ncsc.ch.

PGP NCSC Vulnerability (ASC, 3 kB, 31.08.2021)E-Mail: vulnerability at ncsc.ch
Key ID: 0xBCBB3E225F16898A
Fingerprint: F25A B97C 779A 0C6A 0DE0 F356 BCBB 3E22 5F16 898A

SMIME NCSC Vulnerability (CER, 1 kB, 06.10.2022)E-Mail: vulnerability at ncsc.ch
Fingerprint: bc4563dc1e37b759cd83ffa72a0d4bed468340c2


Notifier une vulnérabilité

*
Courte description de la vulnérabilité (au maximum 250 caractères).
 
Description niveau de gravité voir https://www.first.org/cvss/calculator/3.0.
*
Présentez votre découverte de manière aussi détaillée que possible afin que nous puissions reproduire le problème et le résoudre au plus vite.
 
Décrivez les répercussions qu’entraîne cette vulnérabilité. Sur quels éléments l’exploitation de la faille a-t-elle une incidence?
 
Si disponible, une approche de solution peut être décrite ici.
 
Utilisez des fichiers ASCII (par exemple Markdown) pdf ou png pour la documentation.
*

Informations personnelles (facultatif)

Vous pouvez nous transmettre vos coordonnées personnelles. Cela nous permettra de prendre contact avec vous au cas où nous aurions des questions supplémentaires. 

 
 
 
 
Vous pouvez joindre ici votre clé publique PGP. Remarque : Utilisez l'extension .pgp pour le fichier de clé PGP.
 


Dernière modification 01.01.2024

Début de la page

https://www.ncsc.admin.ch/content/ncsc/fr/home/infos-fuer/infos-it-spezialisten/themen/schwachstelle-melden.html