Annonce d'une faille ou divulgation coordonnée d'une vulnérabilité (Coordinated Vulnerability Disclosure, CVD)

Vous avez découvert une vulnérabilité dans un système informatique ou encore dans une application, un logiciel ou du matériel informatique disponible sur le marché et vous souhaitez la signaler? La règle d'or à suivre consiste à signaler la vulnérabilité directement au vendeur ou au propriétaire du système. S'ils ne réagissent pas à votre annonce ou si leur réponse est insuffisante, l'OFCS peut servir d'intermédiaire pour résoudre le problème de sécurité.

Différents moyens permettent de signaler une vulnérabilité.

Si vous avez découvert une vulnérabilité technique dans un système informatique, une application ou du matériel informatique de l'administration fédérale, signalez-la à l'OFCS au moyen du formulaire ci-dessous. Veuillez vous conformer à notre politique commune en matière de divulgation des vulnérabilités pour effectuer votre signalement en bonne et due forme.

Si vous avez découvert une vulnérabilité dans un système informatique ou un produit autre que ceux de l'administration fédérale, mais non dénué d'incidences pour la Suisse, signalez toujours la vulnérabilité d'abord au propriétaire du système ou au fournisseur du produit. Signalez-la à l'OFCS uniquement si ces derniers ne prennent pas les mesures qui s'imposent. En pareil cas, l'OFCS interviendra en sa qualité d'intermédiaire et leur signalera lui aussi la vulnérabilité.

Si vous avez découvert une vulnérabilité dans une application, un logiciel ou du matériel informatique utilisé par les entreprises suisses, l'OFCS peut coordonner la publication de cette CVE (abréviation anglaise désignant les vulnérabilités et expositions communes), en sa qualité d'autorité habilitée à attribuer des numéros CVE.

Note importante sur les critères d'obtention du CVE:

Pour garantir un traitement plus rapide de votre demande de CVE, assurez-vous que vous avez préparé une référence publique conformément aux exigences de MITRE. Cette référence doit au minimum

• mentionner la vulnérabilité (au moins le numéro CVE + les versions affectées);
• être accessible depuis l'internet.

Pour faciliter le processus, veuillez créer un brouillon dans le «Vulnogram» et inclure le JSON correspondant dans votre demande de CVE.

Si la vulnérabilité signalée affecte un service en cloud, assurez-vous qu'il est conforme à l'exigence 7.4.4 des règles d'attribution: «The vulnerability requires customer or peer action to resolve».

Comment nous communiquer une annonce de vulnérabilité?

• Remplissez le formulaire ci-dessous en détaillant votre découverte. Indiquez votre clé PGP publique pour que l'OFCS puisse se mettre en rapport avec vous immédiatement et en toute sécurité.
• Fournissez un maximum d'informations; cela permettra d'assurer la reproductibilité de la vulnérabilité et d'accélérer le processus.
• Dans le cas des vulnérabilités relativement complexes, l'OFCS devra peut-être prendre directement contact avec vous. Veuillez par conséquent indiquer au moins une adresse électronique ou un numéro de téléphone.
• Pour que la communication soit chiffrée, utilisez la clé PGP de l'adresse vulnerability [at] ncsc.ch.