La découverte et le signalement de vulnérabilités peuvent avoir des conséquences civiles et pénales. Les risques associés peuvent être réduits si vous respectez les règles suivantes:
Lorsque vous prenez contact avec l'OFCS dans le contexte de la divulgation coordonnée d'une vulnérabilité
(en anglais «coordinated vulnerability disclosure», CVD):
- Ne discutez pas de la faille de sécurité que vous avez découverte avec quiconque d'autre que le vendeur, le propriétaire du système touché ou l'OFCS durant le processus de divulgation coordonnée.
- Ne rendez pas publique la vulnérabilité avant que les acteurs concernés aient eu suffisamment de temps pour la supprimer ou avant que vous vous soyez concerté avec toutes les parties, y compris l'OFCS.
- Après avoir signalé la vulnérabilité à l'OFCS, n'interagissez pas avec le système touché de façon répétée durant le processus de divulgation coordonnée.
- N'exploitez pas les vulnérabilités pour télécharger, modifier ou supprimer quelques données que ce soit au-delà du minimum nécessaire pour fournir une preuve de concept.
- N'essayez pas d'élever les privilèges ou d'explorer le système au-delà du minimum nécessaire pour fournir une preuve de concept.
- N'exfiltrez pas les données d'autres utilisateurs, menez les tests sur vos seuls comptes.
- N'essayez pas d'accéder à un système par la force brute ou par des méthodes d'ingénierie sociale (social engineering).
- Ne recourez pas aux attaques par déni de service.
- N'installez pas de maliciels ou de virus.
- Si possible, indiquez dans votre signalement les adresses IP que vous utilisiez lorsque vous avez découvert la vulnérabilité; cela aidera à évaluer les exploitations potentielles et à réduire le nombre de faux positifs.
- Communiquez vos intentions à l'OFCS si vous prévoyez de rendre votre découverte publique (alerte, conférence, article, etc.).
Programme CVD: mode d'emploi
- Si la vulnérabilité touchant un système de l'administration fédérale nous est signalée dans le respect des règles énoncées ci-dessus et que l'auteur du signalement est de bonne foi et n'a pas d'intentions frauduleuses ni de mauvaises intentions, aucune action civile ou pénale ne sera engagée à son encontre.
- Vous pouvez choisir de signaler la vulnérabilité à l'OFCS de manière anonyme.
- L'OFCS traite les signalements en toute confidentialité et ne communique pas les données personnelles de leurs auteurs ou de l'organisation concernée sans leur consentement.
- Avec votre consentement, l'OFCS indique que vous êtes la personne qui a signalé la vulnérabilité.
- Vous recevrez un accusé de réception dans les trois jours ouvrables suivant le signalement. L'OFCS traitera votre signalement dans les cinq jours ouvrables.
- Si la vulnérabilité touche l'administration fédérale, l'OFCS coordonnera l'élaboration d'un correctif dans les 60 jours suivant le signalement.
- Selon l'organisation concernée et la nature de la vulnérabilité, l'OFCS portera celle-ci à l'attention de cette organisation. Le propriétaire du système informatique touché demeure toutefois responsable de celui-ci et des éventuelles mesures correctives à prendre.
- L'OFCS tiendra dans la mesure du possible l'auteur du signalement au courant de l'évolution du dossier et des mesures prises pour supprimer la vulnérabilité.
- Dans le cadre de la publication d'une CVE, l'OFCS procède en coordination avec toutes les parties concernées.
- À l'heure actuelle, les auteurs de signalements ne reçoivent pas de récompense dans le cadre du programme CVD.
Dernière modification 01.01.2024