La découverte et le signalement de vulnérabilités peuvent avoir des conséquences civiles et pénales. Les risques associés peuvent être réduits si vous respectez les règles suivantes:
Lorsque vous prenez contact avec le NCSC dans le contexte de la divulgation coordonnée d'une vulnérabilité
(en anglais «coordinated vulnerability disclosure», CVD):
- Ne discutez pas de la faille de sécurité que vous avez découverte avec quiconque d'autre que le vendeur, le propriétaire du système touché ou le NCSC durant le processus de divulgation coordonnée.
- Ne rendez pas publique la vulnérabilité avant que les acteurs concernés aient eu suffisamment de temps pour la supprimer ou avant que vous vous soyez concerté avec toutes les parties, y compris le NCSC.
- Après avoir signalé la vulnérabilité au NCSC, n'interagissez pas avec le système touché de façon répétée durant le processus de divulgation coordonnée.
- N'exploitez pas les vulnérabilités pour télécharger, modifier ou supprimer quelques données que ce soit au-delà du minimum nécessaire pour fournir une preuve de concept.
- N'essayez pas d'élever les privilèges ou d'explorer le système au-delà du minimum nécessaire pour fournir une preuve de concept.
- N'exfiltrez pas les données d'autres utilisateurs, menez les tests sur vos seuls comptes.
- N'essayez pas d'accéder à un système par la force brute ou par des méthodes d'ingénierie sociale (social engineering).
- Ne recourez pas aux attaques par déni de service.
- N'installez pas de maliciels ou de virus.
- Si possible, indiquez dans votre signalement les adresses IP que vous utilisiez lorsque vous avez découvert la vulnérabilité; cela aidera à évaluer les exploitations potentielles et à réduire le nombre de faux positifs.
- Communiquez vos intentions au NCSC si vous prévoyez de rendre votre découverte publique (alerte, conférence, article, etc.).
Programme CVD: mode d'emploi
- Si la vulnérabilité touchant un système de l'administration fédérale nous est signalée dans le respect des règles énoncées ci-dessus et que l'auteur du signalement est de bonne foi et n'a pas d'intentions frauduleuses ni de mauvaises intentions, aucune action civile ou pénale ne sera engagée à son encontre.
- Vous pouvez choisir de signaler la vulnérabilité au NCSC de manière anonyme.
- Le NCSC traite les signalements en toute confidentialité et ne communique pas les données personnelles de leurs auteurs ou de l'organisation concernée sans leur consentement.
- Avec votre consentement, le NCSC indique que vous êtes la personne qui a signalé la vulnérabilité.
- Vous recevrez un accusé de réception dans les trois jours ouvrables suivant le signalement. Le NCSC traitera votre signalement dans les cinq jours ouvrables.
- Si la vulnérabilité touche l'administration fédérale, le NCSC coordonnera l'élaboration d'un correctif dans les 60 jours suivant le signalement.
- Selon l'organisation concernée et la nature de la vulnérabilité, le NCSC portera celle-ci à l'attention de cette organisation. Le propriétaire du système informatique touché demeure toutefois responsable de celui-ci et des éventuelles mesures correctives à prendre.
- Le NCSC tiendra dans la mesure du possible l'auteur du signalement au courant de l'évolution du dossier et des mesures prises pour supprimer la vulnérabilité.
- Dans le cadre de la publication d'une CVE, le NCSC procède en coordination avec toutes les parties concernées.
- À l'heure actuelle, les auteurs de signalements ne reçoivent pas de récompense dans le cadre du programme CVD.
Dernière modification 23.12.2022