Éthique de divulgation responsable des failles de sécurité : Terminologies

On va traiter ce sujet en 3 parties :

  • 1 – Terminologies
  • 2 – Théories et standards (applications en cas réels)
  • 3 – Considérations juridiques

Divulgation_Ethique_securite

Partie 1 : Terminologies de divulgation des failles de sécurité

But :

  • Aider les administrateurs ou développeurs à ne pas commettre les mêmes erreurs
  • Atténuer les problèmes actuels
  • Empêcher des attaquants malveillants d’exploiter cette vulnérabilité à des fins dévastatrices (vol de données, défaçage, Infection).
  • Vente aux cybercriminels
  • Exploitation Personnelle

Types de divulgations :

  • Non-divulgation (conserver tous les détails)
  • La divulgation partielle (donner assez d’informations pour attester que la vulnérabilité est bien réelle sans donner des indices pour la corriger ou l’exploiter)
  • La divulgation complète de tous les détails

À qui communiquer/intervenant :

  • Les concepteurs de systèmes
  • D’autres chercheurs en sécurité
  • Entreprise concernée par la vulnérabilité
  • Les utilisateurs finaux (par exemple : vulnérabilités qui peux induire au vol de données confidentielles)

Quand :

  • Immédiatement
  • Après la correction de la vulnérabilité
  • Après que les sociétés ou les concepteurs du système ont eu suffisamment de temps pour résoudre le problème, indépendamment de savoir si le problème est résolu ou pas.

Des Choix et composition multiples peuvent être crée à partir de chaque liste, On pourrait choisir une divulgation complète pour les concepteurs du système, et divulgation partielle aux chercheurs en sécurité. Dans des circonstances différentes, des quantités et qualités variables de divulgation à des différentes parties à différents moments peut être appropriée.

Prochaine Partie : Théories et standards (applications en cas réels) .

Articles similaires

One thought on “Éthique de divulgation responsable des failles de sécurité : Terminologies

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *