Disons que j'ai trouvé une vulnérabilité possible dans un système de sécurité. Le système a été universellement considéré comme sain pendant des années et est aujourd'hui utilisé dans le monde entier.
Je ne suis pas un expert en sécurité, mais il y a des choses qui m'inquiètent:
Pour toutes les raisons ci-dessus, je me demande ce que quelqu'un devrait faire dans une situation aussi maladroite.
Pardonnez mon flou, mais je pense que vous comprenez la raison.
Ce serait une question d'opinion sur la façon de procéder. Nous avons déjà une question expliquant différentes manières éthiques de signaler une vulnérabilité.
Tout d'abord, pour quelque chose d'aussi gros, je vous recommanderais personnellement de rester anonyme au début, tout en laissant un moyen de prouver plus tard que c'est bien vous qui avez découvert la vulnérabilité. Créez une toute nouvelle clé PGP (non liée à votre identité), signez vos messages avec elle et publiez-les de manière anonyme (via Tor par exemple). Si vous vous sentez plus tard sûr que tout va bien et qu'il n'y a pas des centaines d'avocats assoiffés de sang qui vous poursuivent, vous pouvez utiliser cette clé pour signer un message disant que c'était vous (avec votre nom complet).
Je recommande l'approche de divulgation responsable: vous entrez en contact avec les développeurs dudit système de sécurité et leur laissez du temps pour déployer un correctif.
Si vous n'obtenez aucune réponse, ne réponse stupide ou même des hordes d'avocats en colère qui vous aboient, utilisez simplement votre anonymat pour rendre public et faire savoir à tout le monde comment cette entreprise gère les failles de sécurité.
Je ne suis pas d'accord sur le fait que divulguer une faille sans fournir d'alternative est une mauvaise idée. Cette faille est peut-être déjà connue des méchants et il vaut mieux que tout le monde le sache (et peut au moins savoir que ce n'est pas sécurisé) plutôt que de laisser les méchants apprécier tranquillement d'utiliser ces informations. De plus, même s'il n'y a pas d'alternative maintenant, cette découverte peut motiver quelqu'un à réellement faire une alternative sûre.
Enfin, même si je ne sais pas de quel type de "système de sécurité" nous parlons, la sécurité devrait être assurée par couches et toute entreprise qui s'appuie sur ce système car sa seule défense mérite de tomber, tout comme celles qui ne le font pas prendre la peine de mettre à jour une fois qu'un correctif est disponible.
Vous voudrez vérifier qu'il s'agit d'une vulnérabilité réelle , généralement en créant une preuve de concept. De là, vous pouvez:
La première option est probablement la meilleure. Vous n'avez pas besoin de divulguer votre identité personnelle pour divulguer des informations. J'ai utilisé plusieurs poignées et comptes jetables pour de telles communications dans des circonstances similaires.
La deuxième option est risquée. Vous risquez un contrecoup public ("Pourquoi donneraient-ils une vulnérabilité ouverte aux personnes qui en abuseraient?") Et vous vous mettez, vous et le vendeur, dans une mauvaise situation. Alors que certaines personnes peuvent applaudir vos efforts, d'autres y verront un problème.
La troisième option est encore plus risquée. Si vous avez la capacité de créer un PoC, il en va de même pour les personnes mal intentionnées. La seule différence ici est votre éprouvé la sécurité par l'obscurité aka un très mauvais heure .
Votre meilleur pari est de commencer avec la première option, en retombant sur la seconde si vous êtes complètement ignoré. J'ai vu des histoires de personnes contactant des fournisseurs pendant des mois, révélant enfin la vulnérabilité au public, puis voyant un patch corrigeant le problème. Dans un monde idéal, le vendeur prendra cela au sérieux et résoudra le problème une fois que vous les aurez contactés. À moins qu'ils ne négligent le problème ou constatent qu'il ne s'agit pas d'un problème, ils seront les meilleurs pour y remédier. S'ils n'y parviennent pas, ils courent le risque réel de devenir le prochain Java ou Flash aka complètement non fiable pour le public.
C'est généralement mauvais pour les affaires.
Vous voulez prendre du crédit mais vous ne voulez pas être connu? Cela ne fonctionnera tout simplement pas.
Décidez de ce qui est le plus important: le crédit ou la divulgation anonyme de la vulnérabilité.
Si le faire connaître est plus important, je vois que vous avez un nouveau compte, etc., c'est bien. (si c'est vraiment si gros, j'espère que vous avez un nouveau système d'exploitation sur un nouvel appareil, pas de profil de navigateur, et Tor aussi. Sinon, commencer maintenant est trop tard.).
Comme étape suivante, si vous n'êtes même pas sûr que ce soit un vuln, juste nous dire la situation ici est un début.
À propos de la partie "ne pas dire parce que exploitable": Eh bien, si cela vous inquiète, et votre identité, je ne vois aucun moyen de le dire à qui que ce soit. Dans ce cas ... oubliez ça?
Thebluefish a omis de mentionner "Divulgation responsable" lorsqu'un tiers de confiance fournit un service d'entiercement pour une durée limitée, permettant au vendeur de réparer le défaut tout en garantissant que le découvreur est crédité. Le CERT sponsorise une telle approche.
Mais selon la réponse précédente, vous avez besoin d'une preuve de concept. Malheureusement, les produits de "sécurité" introduisent plus souvent des vulnérabilités que la plupart des professionnels ne s'y attendent.