Vous êtes sur le site public du Cert-IST
Présentation > Politique de divulgation des failles

Politique de divulgation des failles

Cette page décrit la politique de divulgation qui est appliquée par le Cert-IST lorsqu’il a connaissance d’une nouvelle faille de sécurité. Cette politique a été définie sur la base des propositions faites à l’IETF en 2002 (cf. le projet de RFC IETF mentionné ci-dessous). Le Cert-IST reste attentif à l’évolution des efforts de normalisation dans ce domaine et en particulier aux travaux ISO/IEC 29147 sur ce sujet.


Pour signaler une vulnérabilité au Cert-IST, reportez vous à la rubrique Contact qui vous indique les coordonnées à utiliser pour nous joindre (email et téléphone) ainsi que les moyens (PGP et S-MIME) vous permettant de nous envoyer des données en toute confidentialité.

 

Politique du Cert-IST en matière de divulgation des vulnérabilités :

L'objectif de cette politique est de fixer les règles de conduite suivies par le Cert-IST en matière de divulgation des vulnérabilités. Elle vise notamment à assurer la sécurité de la communauté Cert-IST et à permettre aux Éditeurs de développer rapidement des solutions concernant leurs problèmes de sécurité.

  • Le Cert-IST s’engage à apporter son aide, dans la limite de ses moyens, pour faciliter le dialogue entre un Rapporteur (personnes qui a découvert une nouvelle vulnérabilité de sécurité) et l’Editeur de la solution impactée par cette vulnérabilité. Le rôle premier du Cert-IST est donc celui de Coordinateur, au sens de la proposition «  Responsible Vulnerability Disclosure Process » donnée ci-dessous. Il peut parfois aussi jouer le rôle de Rapporteur. Si pour des contraintes de ressources le Cert-IST ne peut pas assurer ce rôle de Coordinateur, alors il en informera les parties concernées et les orientera vers des solutions alternatives.

  • Le Cert-IST s'engage à respecter une période de grâce qui est en général de 30 jours avant de publier ses avis. Ainsi, lors de la découverte d'une nouvelle vulnérabilité, le Cert-IST notifie l'Éditeur, en lui précisant les informations qu'il compte publier sans réponse de sa part passé ce délai de grâce. Dans la mesure où la réalité de la menace amène à raccourcir ce délai, les différents acteurs (notamment l'Éditeur) en sont informés. Cette période de grâce ne s'applique qu'aux nouvelles vulnérabilités, c'est-à-dire aux vulnérabilités n'ayant pas déjà fait l'objet d'une annonce dans un forum public (mailing-list ouverte, site Web public, etc...).

  • Lors de la notification à l'Éditeur, le Cert-IST s'engage à fournir toutes les informations nécessaires pour permettre à l'Éditeur de qualifier la vulnérabilité : problème rencontré, versions testées, code utilisé et toutes les informations techniques utiles à la compréhension du problème. La notification se fait de manière générale par mail et la date de notification est enregistrée.

  • Sauf avis contraire de la part du Rapporteur, le Cert-IST mentionne le nom du Rapporteur à l'Éditeur lors de la notification et à sa communauté lors de la publication de l'avis.

  • La politique du Cert-IST sera appliquée pour tous les Éditeurs de manière uniforme.

  • En cas de risques de sécurité importants, le Cert-IST se réserve néanmoins le droit de publier les informations en sa possession en-deça ou au-delà de ce délai de grâce, la décision de publier ou non un avis prenant en compte les enjeux en terme de sécurité et les intérêts des différents acteurs. Dans la mesure du possible, le Cert-IST proposera une technique de contournement pour permettre aux utilisateurs de se protéger contre l'exploitation de la vulnérabilité.

 

 

Documents de références :