Lorsque vous prenez contact avec le NCSC dans le contexte de la divulgation coordonnée d'une vulnérabilité
(en anglais «coordinated vulnerability disclosure», CVD):
- Ne discutez pas de la faille de sécurité que vous avez découverte avec quiconque d'autre que le vendeur, le propriétaire du système touché ou le NCSC durant le processus de divulgation coordonnée.
- Ne rendez pas publique la vulnérabilité avant que les acteurs concernés aient eu suffisamment de temps pour la supprimer ou avant que vous vous soyez concerté avec toutes les parties, y compris le NCSC.
- Après avoir signalé la vulnérabilité au NCSC, n'interagissez pas avec le système touché de façon répétée durant le processus de divulgation coordonnée.
- N'exploitez pas les vulnérabilités pour télécharger, modifier ou supprimer quelques données que ce soit au-delà du minimum nécessaire pour fournir une preuve de concept.
- N'essayez pas d'élever les privilèges ou d'explorer le système au-delà du minimum nécessaire pour fournir une preuve de concept.
- N'exfiltrez pas les données d'autres utilisateurs, menez les tests sur vos seuls comptes.
- N'essayez pas d'accéder à un système par la force brute ou par des méthodes d'ingénierie sociale (social engineering).
- Ne recourez pas aux attaques par déni de service.
- N'installez pas de maliciels ou de virus.
- Si possible, indiquez dans votre signalement les adresses IP que vous utilisiez lorsque vous avez découvert la vulnérabilité; cela aidera à évaluer les exploitations potentielles et à réduire le nombre de faux positifs.
- Communiquez vos intentions au NCSC si vous prévoyez de rendre votre découverte publique (alerte, conférence, article, etc.).