Skip to content

Qu'est-ce que la divulgation coordonnée de vulnérabilités et comment doit-elle fonctionner ?

Réponse courte

La divulgation coordonnée de vulnérabilités est un processus où un chercheur signale une faille en privé à l'éditeur, les deux parties s'accordent sur la correction et un délai, et les détails ne sont publiés qu'une fois un correctif disponible (ou le délai convenu écoulé). Elle équilibre le temps laissé aux défenseurs pour corriger et le droit du public à être informé. Un fichier security.txt et une politique claire rendent le signalement sans friction ; les programmes de bug bounty ajoutent des récompenses structurées par-dessus.

Trouver une vulnérabilité n'est que la moitié du travail ; la faire corriger sans mettre les utilisateurs en danger est l'autre moitié. Les recruteurs interrogent sur la divulgation pour tester votre éthique et votre maturité de processus — un chercheur qui balance un zero-day sur Twitter est un risque, pas un atout.

Le spectre de la divulgation

  • La divulgation complète publie tout immédiatement. Elle met l'éditeur sous pression mais arme les attaquants avant qu'un correctif existe.
  • La non-divulgation garde la faille secrète. Les défenseurs ne peuvent jamais la corriger, et la « sécurité par l'obscurité » échoue dès que quelqu'un d'autre la trouve.
  • La divulgation coordonnée (responsable) se situe entre les deux et est le choix professionnel par défaut : signaler en privé, laisser le temps de corriger, puis publier.

Le processus coordonné

  1. Signalement. Le chercheur contacte l'éditeur via un canal connu — idéalement une politique publiée et un fichier security.txt (RFC 9116) annonçant un contact et un périmètre.
  2. Accusé de réception et triage. L'éditeur confirme la réception, reproduit et évalue la gravité (en attribuant souvent un CVE).
  3. Correction. Les deux parties s'accordent sur un correctif et un délai de divulgation — généralement autour de 90 jours, ajustable selon la complexité.
  4. Coordination de la publication. Le correctif sort d'abord ; l'éditeur et le chercheur publient ensuite des avis, en créditant souvent le rapporteur.
  5. Divulguer au délai quoi qu'il arrive. Si l'éditeur tarde, un délai convenu à l'avance déclenche tout de même la publication, de sorte qu'un éditeur ne peut pas enterrer une faille indéfiniment.

Pourquoi le délai existe

Le délai protège les utilisateurs de deux façons : il met fin à l'inaction indéfinie de l'éditeur et reconnaît que d'autres peuvent découvrir le même bug de façon indépendante. Borner dans le temps force l'avancement tout en priorisant un résultat « correction d'abord ».

Bug bounties et safe harbor

Les programmes de bug bounty formalisent cela avec un périmètre, des récompenses et — point crucial — une clause de safe harbor promettant de ne pas poursuivre en justice les chercheurs de bonne foi, ce qui rend justement les chercheurs disposés à signaler.

Ce que recherchent les recruteurs

Ils veulent le terrain d'entente coordonné plutôt que la divulgation complète ou la non-divulgation, la séquence signaler-corriger-publier, la conscience des délais et de leur raison d'être, et les leviers pratiques : security.txt, CVE et clauses de safe harbor.

Questions de suivi probables

  • En quoi la divulgation coordonnée diffère-t-elle de la divulgation complète et de la non-divulgation ?
  • Qu'est-ce qu'un fichier security.txt et que doit-il contenir ?
  • Pourquoi les programmes de divulgation fixent-ils un délai même lorsque l'éditeur coopère ?

Sources

Certifications

Recevez 100 questions d'entretien en cybersécurité + réponses

Laissez votre e-mail et nous vous enverrons le pack PDF gratuit et le jeu de flashcards.

Pas de spam. Désabonnez-vous à tout moment.