Cet article va vous permettre de voir comment remonter une faille que vous avez trouvée sur un site Internet, ou une application web. Vous verrez trois approches en détail, passer directement par l'éditeur du site ou de l'application, l'alerte directement à l'ANSSI et pour finir l'alerte via le protocole Zataz. Bien sur pour chacune des approchent vous aurez les avantages et les inconvénients.
Dans la suite de l'article je parle uniquement de site Internet, mais il faut bien comprendre que cela englobe aussi les plugins, CMS et autres codes auditables.
Ceci est juste mon ressenti vis-à-vis des types d'alertes que je suis habitué à pratiquer.
Rappel de la loi
Comme à chaque début de cours avec une nouvelle promotion je rappelle les textes de loi en France. On va revenir sur les articles majeurs. Vous devrez compléter avec la LPM (loi de programmation militaire) et l'article 47 de la loi du 7 octobre 2016 pour une République numérique.
En France nous allons surtout parler : "Des atteintes aux systèmes de traitement automatisé de données." que l'on retrouve dans le chapitre III du code pénal, article 323-1 à 323-7, disponible sur légifrance.fr. Voici un extrait de ces articles :
Le fait d'introduire frauduleusement des données dans un système de traitement automatisé ou de supprimer ou de modifier frauduleusement les données qu'il contient est puni de cinq ans d'emprisonnement et de 75000 euros d'amende.
Lorsque cette infraction a été commise à l'encontre d'un système de traitement automatisé de données à caractère personnel mis en œuvre par l'Etat, la peine est portée à sept ans d'emprisonnement et à 100 000 € d'amende.
Contexte de la découverte de notre faille
Pour la suite de l'article on va estimer que vous avez trouvé une faille sur le site example.com. La faille en question est une injection SQL. Vous avez découvert cette faille de manière fortuite et de bonne foi vous voulez prévenir l'éditeur. En effet les pentests* sauvages sont interdits, revoir les paragraphes ci-dessus.
Maintenant voyons que faire avec cette découverte ! Mais ce qui est sur vous devez prévenir d'une manière ou d'une autre l'éditeur.
*pentest : réalisation d'un audit de test d'intrusion/piratage sur un système informatisé
Alerter directement l'éditeur du site Internet
Votre découverte en main, de bonne foi vous contactez l'éditeur du site via son formulaire de contact. Vous lui expliquez tout avec un exemple de la faille et des risques que cela représente. Vous pourriez le faire par téléphone ou courrier, mais très honnêtement vous avez plus de chance d'être compris avec un e-mail. A condition d'éviter les objets du genre "Piratage de votre site".
Pour ma part c'est toujours une option risquée en voici d'ailleurs les avantages et inconvénient :
Avantages :
- Remerciement direct de l'éditeur
- Vous êtes certain qu'il a été alerté
- Possibilité de récompense
- Possibilité de vous voir confier une mission complète pour son site
Inconvénients :
- Il risque clairement de porter plainte contre vous
- Vous n'aurez pas surement le discours adéquate pour qu'il interprète au mieux vos propos
- Risque d'amende et de prison
- La déclaration ne vous exempt pas de poursuite judiciaire, comme c'est bien expliqué dans l'e-mail ci-dessus.
Alerter via l'ANSSI :
Depuis début octobre en France vous pouvez vous adresser directement à l'ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information) via l'adresse suivante : https://www.ssi.gouv.fr/actualite/vous-souhaitez-declarer-une-faille-de-securite/. Vous allez trouver l'e-mail d'alerte ainsi que l'adresse postal pour faire votre remonté.
Je n'ai pas encore testé moi-même n'ayant pas trouvé pour l'instant de faille de manière fortuite.
Je vous invite à lire deux choses les petites lignes sur la page de l'ANSSI ainsi que l'article suivant :
Remonter des failles à l’ANSSI, une bien belle idée… sur le papier
D'ailleurs un expert en sécurité avait testé le dispositif et avait reçu l'e-mail suivant :
Comme pour l'alerte précédente voici les avantages et inconvénients :
Avantages :
- L'ANSSI sait comment tourner le message pour être compris de l'éditeur
- L'ANSSI contactera directement un décideur
- Ils pourront l'accompagner pour remédier au problème
- Garantie votre anonymat sous certaine condition
Inconvénients :
- Si l'éditeur est un organisme d'importance vitale (OIV), vous serez le premier suspect (si je lis bien l'article de bluetouff)...
- La déclaration ne vous exempt pas de poursuite judiciaire, comme c'est bien expliqué dans l'e-mail ci-dessus.
- la loi pour une République Numérique est bien trop flou
Alerter via le protocol Zataz :
Bien connu depuis plusieurs années se protocole a été mis en place par Damien Bancal, journaliste, vous trouverez d'ailleurs tous les détails de comment utiliser se protocol Zataz ainsi que les engagements du journaliste à l'adresse suivante : http://www.zataz.com/protocole-alerte-zataz/
Ce n'est pas une entreprise c'est fait de manière bénévole par Damien . Comme pour les autres alertes il vous faudra lui envoyer l'explication de la faille pour qu'il puisse faire l'alerte. Pour envoyer vos messages voici comment procéder : http://www.zataz.com/contacter-le-protocole-dalerte/.
Comme pour les précédents voici les avantages et inconvénients :
Avantages :
- Conservation de l'anonymat pour vous
- Si vous le demandez il pourra vous mettre en relation avec l'éditeur (on a vu plus haut les risques qui seront toujours présent)
- Il est tenace
- Très réactif lors de remonté d'alerte (j'ai testé il y a quelque temps)
Inconvénients :
- Pas de récompense, en même temps comme il le dit ça fait louche.
- La déclaration ne vous exempt pas de poursuite judiciaire, comme c'est bien expliqué dans l'e-mail ci-dessus.
Conclusion :
Vous avez vu les 3 grandes solutions qui s'offrent à vous en cas de découverte de faille. Pour ma part, selon les cas je préviens le protocole Zataz, pour tout ce qui est faille trouvé fortuitement sur un site. Pour les failles que je trouve dans des plugins ou CMS je contacte directement l'éditeur.
Dans tous les cas vous pourrez toujours être poursuivi pour avoir "exploité" la faille. Attention ici on ne parle pas de plugin ou de CMS que vous avez installé sur vos installations, mais bien de sites qui ne vous appartiennent pas. C'est là ou la législation à un travail à faire pour les personnes qui sont vraiment de bonne foi.
A savoir que certain éditeurs ont des bugbounty qui pourront vous permettre d'avoir peut-être des récompenses. Mais c'est un tout autre sujet !
Edit : Depuis peu il existe une nouvelle solution qui s'appelle Zerodisclo, qui a pour but de vous garantir de pouvoir signaler une faille de manière anonyme si tel est votre souhait. Plus d'information ici : http://korben.info/comment-signaler-vulnerabilite.html
Crédit photo : Designed by Freepik