Ces dernières années, les programmes de bug bounty et la recherche de vulnérabilités libre ont augmenté notablement le nombre de failles trouvées sur les services en ligne. Une fois la vulnérabilité trouvée, le chercheur en sécurité essaie en général de contacter l'équipe sécurité du service en ligne pour lui signaler le problème. Et là, cela peut devenir un véritable casse-tête, car rien n'était jusqu'à maintenant normalisé et documenté. Voyons comment la proposition du fichier security.txt a amélioré la situation et ce qu'il faut mettre en place de votre côté pour bien traiter ces remontées.
1. État des lieux de la remontée de vulnérabilités
1.1 Exploitation d'une vulnérabilité VS divulgation responsable
Au cours de ces dernières années, de nombreux programmes de bug bounty (voir la note qui suit) ont été mis en place directement par les entreprises ou au travers de plateformes dédiées à cet usage. Ces programmes s'inscrivent dans la tendance plus large de la recherche de vulnérabilités sur les services en ligne qui grandit d'année en année.
Une fois la vulnérabilité découverte, le chercheur en sécurité a deux options :
- En tirer profit de manière nocive pour le service en ligne : il garde pour lui la vulnérabilité et conçoit un code l'exploitant. Il peut utiliser ce code pour son profit et il peut essayer de le vendre à un service d'achats d'exploits qui le revendra à qui veut bien l'acheter : agences gouvernementales, sociétés privées, voire pire. Nous sommes ici typiquement sur le marché gris de la vente d'armes...
- Accédez à tous les contenus de Connect en illimité
- Découvrez des listes de lecture et des contenus Premium
- Consultez les nouveaux articles en avant-première
