Un chercheur en sécurité a découvert une importante faille de sécurité dans un service de banque en ligne. Après avoir contacté à plusieurs reprises la banque et sans réponse de sa part, Il décide de lui donner un ultimatum d’une semaine pour corriger cette faille après quoi il publiera les détails de la vulnérabilité ainsi qu’un PoC (Proof-of-concept) permettant de prouver la véracité de ses propos.
En agissant de la sorte, quelle règle de cybersécurité viole-t-il ?
[A] Zero-day reporting protocol
[B] CVE reporting protocol
[C] Responsible disclosure
[D] Ethical Hacking
Proposition [A] : Cela ne s’applique pas car il n’existe pas de protocole standardisé pour la divulgation de « zero-day ». Une vulnérabilité Jour-0 fait référence à une faille logicielle qui ne dispose pas de correctif de sécurité.
Proposition [B] : CVE (Common Vulnerabilities and Exposures) est une liste de vulnérabilités connues, et il existe des processus formels pour signaler des vulnérabilités auprès de MITRE ou d’une CNA (CVE Numbering Authority). Ce n’est pas la démarche choisie par ce chercheur.
Proposition [C] : La notion de divulgation responsable (responsible disclosure) est une règle éthique de cybersécurité qui stipule qu’un chercheur qui découvre une faille de sécurité doit en informer l’organisme concerné et lui donner suffisamment de temps pour la corriger avant d’en publier les détails. Le chercheur ne doit jamais publier de code d’exploitation afin de ne pas faciliter la tâche des cybercriminels. En donnant un ultimatum d’une semaine et en menaçant de publier les détails de la faille et une preuve de concept (exploit), le chercheur ne respecte pas cette règle et s’expose même à des risques juridiques. En France par exemple, la banque pourrait poursuivre le chercheur au pénal en invoquant l’article 323-3-1 du code pénal.
Proposition [D] : Le piratage éthique consiste à trouver des vulnérabilités dans le but de les corriger et non de les exploiter de façon malveillante. Ici la démarche du chercheur n’est pas « éthique » dans la mesure où il opère un chantage et enfreint même la loi en divulguant un code d’exploitation. On ne peut donc pas parler de « Ethical hacking » dans ce contexte.
La bonne réponse est la proposition [C]
Pour en savoir plus sur le cycle de vie des vulnérabilités logicielles, nous vous recommandons de suivre le module n°15 de notre formation CISSP en distanciel de VERISAFE.
Questions et réponses rédigées par VERISAFE selon le programme officiel du CISSP actuellement en vigueur
© VERISAFE – Utilisation ou reproduction (même partielle) strictement interdite sans l’accord écrit de VERISAFE