Lorsque des entreprises ou d’autres institutions reçoivent un rapport de pirates informatiques ou de chercheurs en sécurité informatique concernant la découverte d’une faille dans un logiciel ou un système et une potentielle violation de données, elles cèdent souvent à la panique et vont parfois jusqu’à porter plainte contre le lanceur d’alerte. Cette approche est totalement erronée, explique l’Institut européen des normes de télécommunications (ETSI). Il appelle les organisations à mettre en place une procédure de « divulgation coordonnée des vulnérabilités ».
L’ETSI a publié un rapport technique (TR 103 838) dans lequel elle donne des conseils pour l’établissement d’un tel processus « Coordinated Vulnerability Disclosure » (CVD). L’objectif est de permettre aux entreprises et autres institutions de toutes tailles de corriger les failles de sécurité « avant qu’elles ne deviennent publiques » et ne soient éventuellement exploitées à grande échelle.
Sommaire
Absence de possibilité de signaler des vulnérabilités
Selon l’organisme de normalisation, début 2022, seulement 20 % environ des entreprises du secteur des technologies de l’information et de la communication disposaient d’un moyen accessible au public pour les informer d’un problème de sécurité potentiellement grave concernant leurs produits ou services. De nombreuses entreprises proposent certes un formulaire de contact sur leur site Internet ou disposent de profils sur les réseaux sociaux permettant de signaler une faille. Mais cela ne suffit généralement pas.
Dans la plupart des cas où il n’existe pas de procédure CVD formelle séparée, de nombreuses institutions ne disposent pas de procédures internes permettant de traiter rapidement de tels signalements, déplore l’ETSI. Cela vaut en particulier lorsque des éléments de fournisseurs tiers sont contenus dans leurs produits. Les petites entreprises et les fournisseurs de matériel ou de logiciels qui ne sont pas soumis à des contrôles officiels formels de cybersécurité n’ont notamment pas de gestion CVD, fait remarquer Alex Leadbeater de l’ETSI. Or, de telles normes de divulgation sont tout aussi importantes pour les fabricants de produits physiques que pour les fournisseurs de services ou d’applications.
Signaler anonymement via un formulaire web sécurisé
Pour signaler une faille, il convient d’utiliser un formulaire Web sécurisé, indique le rapport. Un tel formulaire est le plus facile d’accès. Il offre également un moyen structuré de s’assurer que la personne qui trouve la faille fournit « toutes les informations nécessaires ».
Le signalement anonyme de failles de sécurité devrait être autorisé, souligne l’ETSI. D’autre part, en cas de demande de renseignements, il pourrait être utile d’inciter le lanceur d’alerte à fournir ses coordonnées. Un numéro de référence unique devrait être automatiquement attribué à chaque notification afin que les deux parties puissent suivre le « ticket » correspondant. Pour réduire les messages de spam, il faudrait limiter le nombre de soumissions autorisées au cours d’une période donnée ou effectuer un « test de réponse au défi ».
Procédure de triage – priorité à la correction des vulnérabilités
L’institut de normalisation recommande en outre de mettre en place une procédure de triage pour le traitement ultérieur de l’entrée. Une telle approche de priorisation des possibilités d’assistance en cas de ressources insuffisantes a été rendue célèbre par la pandémie Corona lors de l’occupation de lits d’hôpitaux pour la respiration artificielle. Dans ce cas, l’objectif est de s’assurer « qu’une évaluation de la notification, de sa gravité et de son impact probable sur l’entreprise est effectuée ».
Cela permet d’éviter « des réactions précipitées ou erronées », peut-on lire dans le guide. Sur la base des informations obtenues lors d’un tel examen, il convient ensuite de définir une priorité pour la correction de la vulnérabilité. Le processus de triage peut être effectué par une équipe interne ou être externalisé. Dans les deux cas, il ne devrait être fait appel qu’à du personnel techniquement compétent et ayant une bonne connaissance des structures de l’entreprise.
Cadeaux publicitaires, trophée itinérant ou « Hall of Fame » en guise de reconnaissance
Une fois que les mesures nécessaires ont été prises, le guide indique qu’il peut être utile d’émettre un avertissement public, d’informer les autorités de protection des données ou de demander un numéro de référence dans le cadre du système « Common Vulnerabilities and Exposures » (CVE).
« Une fois que la vulnérabilité signalée a été corrigée, l’organisation devrait envisager de confirmer l’identité de la personne qui l’a trouvée », souligne l’ETSI. Son nom peut être inclus dans un avis public, si cela est souhaité. D’autres formes de reconnaissance sont l’inscription dans un « Hall of Fame », une lettre de reconnaissance ou des cadeaux promotionnels sous la forme d’un trophée itinérant ou d’un cadeau avec le logo de l’entreprise.
Éthique du piratage informatique
Le rapport contient également des conseils sur la manière de gérer les failles de sécurité dans les produits de tiers ou de fournisseurs. Il est accompagné d’un modèle personnalisable de politique de divulgation des vulnérabilités.
Le Chaos Computer Club (CCC) recommande, en cas de doute, de signaler anonymement les failles de sécurité dans notre pays et de respecter l’éthique des hackers. Les articles sur le piratage interdisent de se procurer l’accès à des données spécialement protégées. Ainsi, même les chercheurs en sécurité animés de bonnes intentions s’exposent à des conséquences juridiques. L’année dernière, Lilith Wittmann du collectif Zerforschung en a fait les frais après avoir découvert et signalé une faille dans une application de la CDU. Le parti s’est manifesté et n’a fait marche arrière qu’après un tollé général.