Divulgation responsable
From Wikipedia, the free encyclopedia
Divulgation responsable (ou divulgation coordonnée) est un terme de sécurité informatique décrivant un modèle de divulgation de vulnérabilité informatique.
La divulgation responsable est semblable à une divulgation complète, avec l'ajout que toutes les parties prenantes acceptent de laisser un délai avant la divulgation pour que la vulnérabilité soit corrigée avant sa divulgation.
Les développeurs de matériel informatique et de logiciels ont souvent besoin de temps et de ressources pour réparer des erreurs découvertes dans leurs produits. En revanche, les hackers grey hat et les spécialistes de la sécurité informatique considèrent qu'il est de leur responsabilité sociale de sensibiliser le public aux vulnérabilités ayant un fort impact, car cacher ces problèmes engendre un sentiment de fausse sécurité. Pour satisfaire les deux parties prenantes, les développeurs et les découvreurs de vulnérabilité échangent des informations et s'entendent sur une période de temps pour réparer la vulnérabilité et prévenir tout dommage futur. Selon l'impact potentiel de la vulnérabilité, le temps prévu pour une solution d'urgence ou une solution de contournement peut varier entre quelques jours et plusieurs mois.
La divulgation responsable ne permet pas de satisfaire les chercheurs en sécurité qui s'attendent à être compensés financièrement pour la découverte d'une vulnérabilité, car l'attente d'une compensation lors du signalement d'une vulnérabilité à un fournisseur peut être considérée comme une extorsion. Alors qu'un marché des vulnérabilités s'est développé, la commercialisation des vulnérabilités reste un sujet très sensible et controversé.
Aujourd'hui, les deux principaux acteurs du marché commercial de la vulnérabilité sont iDefense, qui a lancé son programme de Contributeur de vulnérabilité (plus connu sous le nom anglais de Vulnerability contributor program ou VCP) en 2003, et TippingPoint (en), avec son Initiative vulnérabilité Zero day (plus connu sous le nom anglais de Zero-day initiative ou ZDI), commencée en 2005. Ces organisations suivent le processus de divulgation responsable avec les vulnérabilités qu'ils achètent. Entre et , 7,5% des vulnérabilités affectant Microsoft et Apple ont été traitées par les programmes VCP ou ZDI[1].
Facebook, Google, Mozilla et Barracuda Networks sont d'autres entreprises qui récompensent financièrement la divulgation responsable en payant des primes pour les vulnérabilités rapportées[2].
Alternatives
Alternativement à une divulgation responsable, le découvreur d'une vulnérabilité peut :
- Rendre la vulnérabilité publique immédiatement (divulgation complète)
- Conserver la vulnérabilité privée pour son propre usage (par exemple dans le cadre d'une activité cybercriminelle)
- Revendre la vulnérabilité à un tiers (groupe cybercriminel, agence de renseignement, société commerciale...).
Standardisation
Les bonnes pratiques de divulgation de vulnérabilités informatiques ont été standardisées dans la norme ISO/IEC 29147 dont la première édition date de 2014.
