Règles et conditions-cadres

La découverte et le signalement de vulnérabilités peuvent avoir des conséquences civiles et pénales. Les risques associés peuvent être réduits si vous respectez les règles suivantes:

Lorsque vous prenez contact avec l'OFCS dans le contexte de la divulgation coordonnée d'une vulnérabilité
(en anglais «coordinated vulnerability disclosure», CVD):

• Ne discutez pas de la faille de sécurité que vous avez découverte avec quiconque d'autre que le vendeur, le propriétaire du système touché ou l'OFCS durant le processus de divulgation coordonnée.
• Ne rendez pas publique la vulnérabilité avant que les acteurs concernés aient eu suffisamment de temps pour la supprimer ou avant que vous vous soyez concerté avec toutes les parties, y compris l'OFCS.
• Après avoir signalé la vulnérabilité à l'OFCS, n'interagissez pas avec le système touché de façon répétée durant le processus de divulgation coordonnée.
• N'exploitez pas les vulnérabilités pour télécharger, modifier ou supprimer quelques données que ce soit au-delà du minimum nécessaire pour fournir une preuve de concept.
• N'essayez pas d'élever les privilèges ou d'explorer le système au-delà du minimum nécessaire pour fournir une preuve de concept.
• N'exfiltrez pas les données d'autres utilisateurs, menez les tests sur vos seuls comptes.
• N'essayez pas d'accéder à un système par la force brute ou par des méthodes d'ingénierie sociale (social engineering).
• Ne recourez pas aux attaques par déni de service.
• N'installez pas de maliciels ou de virus.
• Si possible, indiquez dans votre signalement les adresses IP que vous utilisiez lorsque vous avez découvert la vulnérabilité; cela aidera à évaluer les exploitations potentielles et à réduire le nombre de faux positifs.
• Communiquez vos intentions à l'OFCS si vous prévoyez de rendre votre découverte publique (alerte, conférence, article, etc.).
  

Programme CVD: mode d'emploi

• Si la vulnérabilité touchant un système de l'administration fédérale nous est signalée dans le respect des règles énoncées ci-dessus et que l'auteur du signalement est de bonne foi et n'a pas d'intentions frauduleuses ni de mauvaises intentions, aucune action civile ou pénale ne sera engagée à son encontre.
• Vous pouvez choisir de signaler la vulnérabilité à l'OFCS de manière anonyme.
• L'OFCS traite les signalements en toute confidentialité et ne communique pas les données personnelles de leurs auteurs ou de l'organisation concernée sans leur consentement.
• Avec votre consentement, l'OFCS indique que vous êtes la personne qui a signalé la vulnérabilité.
• Vous recevrez un accusé de réception dans les trois jours ouvrables suivant le signalement. L'OFCS traitera votre signalement dans les cinq jours ouvrables.
• Si la vulnérabilité touche l'administration fédérale, l'OFCS coordonnera l'élaboration d'un correctif dans les 60 jours suivant le signalement.
• Selon l'organisation concernée et la nature de la vulnérabilité, l'OFCS portera celle-ci à l'attention de cette organisation. Le propriétaire du système informatique touché demeure toutefois responsable de celui-ci et des éventuelles mesures correctives à prendre.
• L'OFCS tiendra dans la mesure du possible l'auteur du signalement au courant de l'évolution du dossier et des mesures prises pour supprimer la vulnérabilité.
• Dans le cadre de la publication d'une CVE, l'OFCS procède en coordination avec toutes les parties concernées.
• À l'heure actuelle, les auteurs de signalements ne reçoivent pas de récompense dans le cadre du programme CVD.