Politique de divulgation des failles de sécurité du Cert-IST

Dans un article d'un précédent bulletin (bulletin n°50 - novembre 2001), nous vous avons présenté les points de vue récents concernant la divulgation des vulnérabilités, et notamment l'effort de normalisation entrepris par l'IETF à ce sujet.

Le présent article expose les grandes lignes du Draft Internet de l'IETF ("Responsible Vulnerability Disclosure Process"), paru au mois de février 2002. Il montre également comment le Cert-IST est conforme à cet effort de normalisation.

1°) Introduction : objet de la RFC

De nouvelles failles de sécurité dans les produits informatiques sont découvertes et publiées chaque jour. Le processus consistant à rendre publique une vulnérabilité ("Vulnerability disclosure") fait l'objet d'un débat ancien et complexe, où un certain nombre d'acteurs doivent interagir et s'échanger des informations.

Le but de ce Draft est de décrire les règles de bonne conduite ("best practices") pour un processus de divulgation responsable des vulnérabilités.

2°) Rôles principaux

Plusieurs types d'individus ou d'organisations peuvent être amenés à jouer un rôle dans le processus de divulgation des vulnérabilités. Ces rôles sont les suivants :

• L'Éditeur
• Le Client
• Le Rapporteur
• Le Coordinateur
• La Communauté Sécurité

Dans la définition de ces rôles, le Cert-IST intervient en tant que Rapporteur et Coordinateur.

3°) Phases principales

Les phases de découverte d'une vulnérabilité sont les suivantes :

• Phase de découverte
• Phase de notification
• Phase de validation
• Phase de résolution
• Phase de publication
• Phase de suivi

4°) Règles de conduite ("Policy")

Règles concernant le coordinateur et le Rapporteur

Un Coordinateur/Rapporteur DOIT publier une politique et des procédures incluant les informations suivantes :

1. Si le Coordinateur/Rapporteur respecte (ou non) le processus décrit dans cette RFC.

2. La période de grâce maximale que le Coordinateur/Rapporteur s'engage à accorder.

POLITIQUE DU CERT-IST EN MATIERE DE DIVULGATION DES VULNERABILITES

L'objectif de cette politique est de fixer les règles de conduite suivies par le Cert-IST en matière de divulgation des vulnérabilités. Elle vise notamment à assurer la sécurité de la communauté Cert-IST et à permettre aux Éditeurs de développer rapidement des solutions concernant leurs problèmes de sécurité.

• Le Cert-IST respecte le processus décrit dans le Draft "Responsible Vulnerability Disclosure Process". Son rôle premier (au sens de la RFC) est celui de Coordinateur. Il peut parfois aussi jouer le rôle de Rapporteur.

• Le Cert-IST s'engage à respecter une période de grâce qui est en général de 30 jours avant de publier ses avis. Ainsi, lors de la découverte d'une nouvelle vulnérabilité, le Cert-IST notifie l'Éditeur, en lui précisant les informations qu'il compte publier sans réponse de sa part passé ce délai de grâce. Dans la mesure où la réalité de la menace amène à raccourcir ce délai, les différents acteurs (notamment l'Éditeur) en sont informés. Cette période de grâce ne s'applique qu'aux nouvelles vulnérabilités, c'est-à-dire aux vulnérabilités n'ayant pas déjà fait l'objet d'une annonce dans un forum public (mailing-list ouverte, site Web public, etc…).

• Lors de la notification à l'Éditeur, le Cert-IST s'engage à fournir toutes les informations nécessaires pour permettre à l'Éditeur de qualifier la vulnérabilité : problème rencontré, versions testées, code utilisé et toutes les informations techniques utiles à la compréhension du problème. La notification se fait de manière générale par mail et la date de notification est enregistrée.

• Sauf avis contraire de la part du Rapporteur, le Cert-IST mentionne le nom du Rapporteur à l'Éditeur lors de la notification et à sa communauté lors de la publication de l'avis.

• La politique du Cert-IST sera appliquée pour tous les Éditeurs de manière uniforme.

• En cas de risques de sécurité importants, le Cert-IST se réserve néanmoins le droit de publier les informations en sa possession en-deça ou au-delà de ce délai de grâce, la décision de publier ou non un avis prennant en compte les enjeux en terme de sécurité et les intérêts des différents acteurs. Dans la mesure du possible, le Cert-IST proposera une technique de contournement pour permettre aux utilisateurs de se protéger contre l'exploitation de la vulnérabilité.

Pour plus d'information :

• Internet-Draft ("Responsible Vulnerability Disclosure Process") : http://www.ietf.org/internet-drafts/draft-christey-wysopal-vuln-disclosure-00.txt
• Article du bulletin n° 50 de novembre 2001 : https://wws.cert-ist.com/fast-cgi/Bulletin?Param=50&Profil=0&Langue=0