Gestion de la divulgation des vulnérabilités
Conditions cadres et règles
Melden einer Schwachstelle (Coordinated Vulnerability Disclosure, CVD)
- Pendant le processus CVD, discutez de la faille de sécurité découverte uniquement avec le fournisseur, le NCSC et la BFH.
- Ne rendez pas la vulnérabilité publique avant que les parties concernées aient eu suffisamment de temps pour résoudre le problème ou que vous vous soyez concerté avec toutes les parties concernées, y compris la BFH.
- N’interagissez pas de manière répétée avec le système pendant le processus CVD après avoir signalé une vulnérabilité.
- N’exploitez pas les vulnérabilités pour télécharger, modifier ou supprimer des données au-delà de ce qui est nécessaire pour une preuve de concept.
- N’essayez pas d’élever les privilèges ou d’explorer le système au-delà du minimum nécessaire pour fournir une preuve de concept.
- N’exfiltrez pas les données d’autres utilisateurs et utilisatrices, menez les tests sur vos seules données.
- N’essayez pas d’accéder à un système par la force brute ou par des méthodes d’ingénierie sociale.
- Ne recourez pas aux attaques par déni de service.
- N’installez pas de logiciels malveillants (malware) ou de virus.
- Si possible, indiquez dans votre signalement les adresses IP que vous utilisiez lorsque vous avez découvert la vulnérabilité ; cela aidera à évaluer les exploitations potentielles et à réduire le nombre de faux positifs.
- Informez la BFH si vous prévoyez de rendre votre découverte publique (rapport, conférence, article, etc.).
Ce que vous pouvez attendre de la BFH dans le cadre du programme CVD
- Si une faille concernant les systèmes de la BFH est signalée dans le cadre des règles susmentionnées et en toute bonne foi, sans intention frauduleuse ou préjudiciable, la BFH n’engagera pas de poursuites civiles ou pénales à votre encontre.
- Vous pouvez aussi communiquer votre signalement sous couvert de l’anonymat.
- La BFH traite les signalements de manière confidentielle et ne transmet les données personnelles des parties à l’origine du signalement ou de l’organisation bénéficiaire qu’avec l’accord de celles-ci.
- Nous ne vous désignons nommément comme la personne ayant signalé une vulnérabilité qu’avec votre accord.
- Vous recevez un accusé de réception dans les 3 jours ouvrables suivant le signalement du problème. La BFH valide le signalement dans un délai de 2 semaines ouvrables.
- Dans la mesure du possible, la BFH informe la partie à l’origine du signalement de l’évolution de la situation et de la correction de la vulnérabilité.
- En cas de publication de la vulnérabilité, la BFH coordonne la procédure avec toutes les parties concernées.
- Le programme CVD de la BFH ne propose actuellement pas d’indemnisation lors de signalements.
Liens importants
PGP
- KeyID: 0x99ACA09463FBB5B9
-
Fingerprint: 7156 83C8 E127 E90F 1067 7BAA 99AC A094 63FB B5B9
SMIME
-
Fingerprint(sha256): FA:B9:18:A2:21:07:2C:58:35:4B:FD:DF:B5:29:3B:68:3E:FA:A1:24:14:C0:70:FC:49:62:4D:5C:EA:3A:21:92