Depuis quelques temps, j’ai envie d’être sympa tout en continuant à m’amuser avec la sécurité de l’information.
Outre l’ouverture de ce modeste blog, je me suis mis à la “divulgation responsable” de vulnérabilités dans les systèmes d’informations croisées ça et là au fil de mes recherches en cyber-sécurité.

Concrètement, il s’agit grosso-modo de repérer une potentielle vulnérabilité critique sur un système, vérifier son exploitabilité, puis avertir le plus efficacement possible l’exploitant du dit système.
Cependant, cela peut comporter certaines embûches légales, raison de l’écriture de cet article.

Que dit la Suisse?

Tout d’abord, je n’ai pas trouvé de texte de loi simplement accessible encadrant ce type de pratique et me suis donc fendu d’un e-mail à la Centrale d’enregistrement et d’analyse pour la sûreté de l’information MELANI pour poser des questions concernant le bien fondé de ma démarche, ainsi que le soutien légal que la Confédération pourrait m’apporter dans ce cadre.
A ma grande (et agréable) surprise, leur réponse bienveillante et pleine d’informations utiles est intervenue très rapidement, je partage donc ici ses principaux éléments.

  • Dans le cadre d’une “découverte sauvage”, soit le fait de trouver au hasard une vulnérabilité dans un système en ligne localisé en Suisse, la Centrale m’encourage à les mettre en copie du rapport que j’envoie à l’exploitant du système à l’adresse outreach[at]govcert[dot]ch.
  • Le rapport doit être clair, compréhensible et doit expliquer précisément la vulnérabilité sur le service impacté ainsi qu’une méthodologie détaillée du processus d’exploitation de cette vulnérabilité afin que l’exploitant du système puisse éventuellement la reproduire de lui-même.
  • Expliquer sa démarche (bénévole) avec politesse et bienveillance afin de ne pas provoquer chez l’exploitant du système une réaction émotionnelle pouvant rendre difficile la poursuite éventuelle du dialogue et au pire occasionner des poursuites légales.

Cette activité peut également être rémunérée, par l’intermédiaire de programmes de BugBounties (j’y reviendrai plus loin) ou par un rapport contractuel avec l’exploitant du système, définissant à l’avance le champ d’action autorisé, le mode d’intrusion, la durée ainsi qu’un éventuel accord de non-divulagation (NDA – Non Disclosure Agreement).

La Centrale MELANI a également attiré mon attention sur les textes suivants du Code Pénal:
Soustraction de données
Accès indu à un système informatique
Détérioration de données


Et la France?

En France, c’est un chouïa plus simple puisque la loi encadre l’activité, toujours pas de manière optimale mais c’est déjà ça.
L’ANSSI, l’Agence Nationale de la Sécurité des Systèmes d’Information, met d’ailleurs à disposition une page Web détaillant le comportement à observer ainsi que les dispositions légales inhérentes à la pratique: https://www.ssi.gouv.fr/actualite/vous-souhaitez-declarer-une-faille-de-securite/

Les programmes de Bug Bounty

Ces programmes sont lancés par des organismes soucieux de faire tester la sécurité de leurs systèmes par le plus large public.
Les découvertes concluantes peuvent être rémunérées d’une manière ou d’une autre, ou pas selon les modalités d’engagement définies par l’organisme initiateur du programme.

Cette pratique ce développant de plus en plus, des structures de centralisations et d’intermédiaires entre les chercheurs en sécurité se sont mis en place, telles que YesWeHack, FireBounty ou encore HackerOne.