Directive relative à la politique de divulgation des vulnérabilités (Vulnerability Disclosure Policy, VDP)

Partager la page

Introduction

La Nagra (Coopérative nationale pour l’entreposage des déchets radioactifs) salue le travail appréciable des chercheurs indépendants en sécurité agissant de bonne foi. Ils soutiennent nos efforts pour protéger nos données, les données de la population et celles de nos clients, ainsi que la fiabilité de nos produits et prestations. Nous sommes par conséquent reconnaissants pour les signalements responsables de vulnérabilités dans nos systèmes et ressources numériques propres ou exploités par nos soins.

La présente directive décrit la procédure pour le signalement de vulnérabilités à notre attention. Nous vous prions de lire cette directive attentivement avant de tester et/ou de signaler une vulnérabilité. Nous nous engageons à collaborer avec les chercheurs en sécurité afin de contrôler toutes les vulnérabilités potentielles et de veiller à leur élimination.

Signaler des problèmes de sécurité

Domaine d’application

Toutes les ressources numériques accessibles au public et appartenant à la Nagra ou exploitées ou gérées par ses soins.

Hors du domaine d’application

Veuillez noter que nous faisons appel à des prestations d’autres entreprises et/ou organisations pour certaines parties de nos systèmes et infrastructures.

Des vulnérabilités mises en évidence ou suspectées dans ces systèmes doivent être signalées au fournisseur concerné ou aux autorités compétentes. Dans le cas contraire, nous attirerons l’attention de l’organisation concernées sur ces vulnérabilités. Le propriétaire du système informatique concerné reste toutefois responsable du système et des mesures correctives potentielles.

Nos engagements

En cas de collaboration avec nous, nous pouvons vous assurer les engagements suivants, conformément à la présente directive :

  • Réponse dans les meilleurs délais et confirmation de la réception de votre signalement concernant la vulnérabilité
  • Collaboration avec vous, afin de comprendre et de valider votre signalement
  • Maintien d’un dialogue ouvert, afin de clarifier la problématique
  • Efforts destinés à éliminer en temps utile la vulnérabilité mise en évidence
  • Indication d’un cadre temporel pour l’élimination de la vulnérabilité signalée
  • Efforts pour vous tenir informé de la progression des mesures destinées à éliminer la vulnérabilité
  • Notification, lorsque la vulnérabilité a été éliminée
  • Reconnaissance de votre contribution, si vous êtes la première personne à nous signaler une vulnérabilité unique et si votre signalement déclenche une modification du code ou de la configuration
  • Mise à disposition d’une sphère de sécurité légale pour vos activités de recherche de vulnérabilités, pour autant que ces activités s’inscrivent dans la présente politique de divulgation des vulnérabilités

Nos attentes

En cas de participation à notre programme de divulgation de vulnérabilités, nous vous prions :

  • de respecter les règles et de vous conformer aux dispositions de la présente directive ;
  • de renoncer à toute infraction aux lois en vigueur, dans le cadre de votre signalement et de vos échanges avec nous ;
  • de signaler sans délai toute vulnérabilité mise en évidence ;
  • de ne pas mettre à profit des vulnérabilités mises en évidence et de ne pas les utiliser de quelconque façon, hormis dans le cadre de votre signalement à notre attention ;
  • de ne pas enfreindre la sphère privée de tiers, de ne pas perturber nos systèmes, détruire des données ou perturber l’expérience utilisateurs ;
  • de n’utiliser que les canaux officiels pour discuter avec nous des informations relatives aux vulnérabilités ;
  • d’assurer la confidentialité des détails relatifs aux vulnérabilités mises en évidence, conformément à la présente directive ;
  • si une vulnérabilité permet un accès involontaire à des données : de limiter au minimum le volume de données auxquelles vous devez accéder pour apporter efficacement la preuve du concept ; de cesser vos tests et de nous envoyer un rapport sans délai ;
  • de n’interagir qu’avez des comptes de tests qui vous appartiennent ou pour lesquels vous avez obtenu l’autorisation expresse de la part de son propriétaire ;
  • de renoncer à des tentatives de chantage ;
  • de nous accorder un délai approprié pour résoudre le problème ;
  • de vous coordonner avec nous avant de divulguer publiquement des vulnérabilités.

La Nagra n’autorise pas les approches suivantes dans le cadre d’analyses de sécurité :

Nous vous encourageons à nous signaler toutes les vulnérabilités que vous avez mises en évidence, mais nous interdisons expressément les approches suivantes :

  • Réalisation d’actions susceptibles d’avoir des conséquences négatives sur nos systèmes ou nos clients (p.ex. phishing, spam, force brute, déni de service)
  • Destruction ou corruption de données ou d’informations qui ne vous appartiennent pas, ou tentative de les détruire ou de les corrompre
  • Réalisation de tout type d’attaques physiques ou électroniques sur nos collaborateurs·trices, notre patrimoine, nos bâtiments ou nos infrastructures
  • Ingénierie sociale de nos collaborateurs·trices, de nos clients ou de nos prestataires

Divulgation coordonnée de vulnérabilités (Coordinated Vulnerability Disclosure, CVD)

Nous apprécions les efforts de chercheurs externes en sécurité qui identifient des vulnérabilités et les signalent de manière responsable, afin qu’elles puissent être éliminées. Notre directive prévoit d’autoriser la publication si les conditions suivantes sont remplies (Coordinated Vulnerability Disclosure) :

  • La personne à l’origine du signalement ne publie des informations sur la vulnérabilité qu’après que nous ayons confirmé que la vulnérabilité a été éliminée et que nous acceptons la publication
  • Toute publication requiert l’approbation écrite préalable de la part de la Nagra
  • Aucune autre détail sur la vulnérabilité ne sera publié, p.ex. exploit ou preuve du concept

Canaux officiels

Nous vous prions de signaler les problèmes de sécurité sur Bug Bounty Schweiz avec toutes les informations pertinentes. Ne transmettez pas de rapports d’outils automatiques sans les avoir contrôlés. Plus vous mettez à notre disposition d’informations selon la liste ci-après, plus il nous sera aisé d’évaluer le problème et de le corriger :

  • Description technique de la vulnérabilité, y compris :
    • Informations sur le navigateur utilisé (type et version)
    • Informations pertinentes sur les composants et appareils raccordés
    • URL de la plate-forme ou des plates-formes concernées
  • Exemple de code utilisé pour la démonstration de la vulnérabilité et/ou étapes détaillées pour reconstituer le problème
  • Evaluation des menaces/risques
  • Date et heure de la mise en évidence
  • Informations de contact
  • Plans potentiels pour la divulgation

Veuillez noter que ces canaux ne doivent être utilisés que pour le signalement de vulnérabilités non publiées, et non pour obtenir du support ou des informations. Les demandes adressées par ces canaux et qui ne concernent pas des vulnérabilités non publiées ne seront pas traitées.

Sphère de sécurité légale

  • En cas d’infractions accidentelles et de bonne foi contre les dispositions de la présente directive, nous n’engagerons pas d’actions civiles contre les participants et ne porterons pas plainte auprès de l’autorité de poursuite pénale.
  • Nous interpréterons les activités des participants respectant les dispositions de la présente directive en tant qu’accès autorisé, au sens du code pénal (CP). En font partie les alinéas 143, 143bis et 144bis du CP.
  • Nous ne porterons pas plainte contre les personnes qui testent nos mesures de sécurité en respectant les dispositions de la présente directive.
  • Si des tiers engagent des actions en justice contre des participants respectant les dispositions de la présente directive, nous prendrons les mesures nécessaires pour communiquer aux autorités que les agissements de ces participants ont été réalisés en conformité avec les dispositions de cette directive.
  • En cas d’infractions mineures, nous nous réservons le droit d’émettre un avertissement. En cas d’infractions graves, nous nous réservons le droit de porter plainte.

Nous attendons de votre part de respecter toutes les lois en vigueur. Si, à n’importe quel moment, vous avez des doutes ou n’êtes pas sûr si votre analyse de sécurité est conforme aux dispositions de cette directive, nous vous prions de nous remettre un rapport par l’un de nos canaux officiels avant de poursuivre votre analyse.

Veuillez noter que cette disposition relative à la sphère de sécurité légale ne s’applique qu’aux prétentions juridiques sous le contrôle de l’organisation participant à la présente politique de divulgation des vulnérabilités, et que la présente directive n’est pas contraignante pour des tiers indépendants.

Signaler des problèmes de sécurité