Divulgation responsable

Divulgation responsable (ou divulgation coordonnée) est un terme de sécurité informatique décrivant un modèle de divulgation de vulnérabilité informatique.

La divulgation responsable est semblable à une divulgation complète, avec l'ajout que toutes les parties prenantes acceptent de laisser un délai avant la divulgation pour que la vulnérabilité soit corrigée avant sa divulgation.

Les développeurs de matériel informatique et de logiciels ont souvent besoin de temps et de ressources pour réparer des erreurs découvertes dans leurs produits. En revanche, les hackers grey hat et les spécialistes de la sécurité informatique considèrent qu'il est de leur responsabilité sociale de sensibiliser le public aux vulnérabilités ayant un fort impact, car cacher ces problèmes engendre un sentiment de fausse sécurité. Pour satisfaire les deux parties prenantes, les développeurs et les découvreurs de vulnérabilité échangent des informations et s'entendent sur une période de temps pour réparer la vulnérabilité et prévenir tout dommage futur. Selon l'impact potentiel de la vulnérabilité, le temps prévu pour une solution d'urgence ou une solution de contournement peut varier entre quelques jours et plusieurs mois.

Rémunération pour la découverte de vulnérabilités

La divulgation responsable ne permet pas de satisfaire les chercheurs en sécurité qui s'attendent à être compensés financièrement pour la découverte d'une vulnérabilité, car l'attente d'une compensation lors du signalement d'une vulnérabilité à un fournisseur peut être considérée comme une extorsion. Alors qu'un marché des vulnérabilités s'est développé, la commercialisation des vulnérabilités reste un sujet très sensible et controversé.

Aujourd'hui, les deux principaux acteurs du marché commercial de la vulnérabilité sont iDefense, qui a lancé son programme de Contributeur de vulnérabilité (plus connu sous le nom anglais de Vulnerability contributor program ou VCP) en 2003, et TippingPoint (en), avec son Initiative vulnérabilité Zero day (plus connu sous le nom anglais de Zero-day initiative ou ZDI), commencée en 2005. Ces organisations suivent le processus de divulgation responsable avec les vulnérabilités qu'ils achètent. Entre mars 2003 et décembre 2007, 7,5% des vulnérabilités affectant Microsoft et Apple ont été traitées par les programmes VCP ou ZDI^[1].

Facebook, Google, Mozilla et Barracuda Networks sont d'autres entreprises qui récompensent financièrement la divulgation responsable en payant des primes pour les vulnérabilités rapportées^[2].

Alternatives

Alternativement à une divulgation responsable, le découvreur d'une vulnérabilité peut :

Rendre la vulnérabilité publique immédiatement (divulgation complète)
Conserver la vulnérabilité privée pour son propre usage (par exemple dans le cadre d'une activité cybercriminelle)
Revendre la vulnérabilité à un tiers (groupe cybercriminel, agence de renseignement, société commerciale, ...)

Standardisation

Les bonnes pratiques de divulgation de vulnérabilités informatiques ont été standardisées dans la norme ISO/IEC 29147 dont la première édition date de 2014.

Exemples de divulgation responsable

Voici quelques vulnérabilités de sécurité auxquelles le principe de divulgation responsable a été appliquée et le temps négocié avant la divulgation :

l'empoisonnement du cache DNS découvert par Dan Kaminsky, 5 mois^[3] ;
la vulnérabilité des cartes Mifare découverte par l'Université Radboud de Nimègue, 6 mois^[4] ;
la vulnérabilité dans la sécurité du métro de Boston découverte par des étudiants du Massachusetts Institute of Technology (voir Massachusetts Bay Transportation Authority v. Anderson (en)), 5 mois^[5] ;
la vulnérabilité de MD5 qui permettait de créer de faux certificats de sécurité au moyen d'attaques de collisions, 1 semaine^[6] ;
la vulnérabilité des cartes-cadeaux de Starbucks à une situation de compétition, 10 jours^[7].

Critiques de la divulgation responsable

Le défaut de la divulgation responsable est qu'elle laisse les utilisateurs du produit affecté vulnérables, sans le savoir, pendant une période significative (plusieurs mois). Pendant cette période, ils sont susceptibles d'être piratés par un acteur malveillant ayant connaissance de la vulnérabilité^[8].

Des acteurs importants en cybersécurité, dont Bruce Schneier, se prononcent donc en faveur d'une divulgation aussi tôt que possible (divulgation complète) car elle laisse plus de marges de manœuvres aux entités affectées (couper le service, l'isoler du réseau, etc.) en attendant qu'un correctif soit publié^[9].

La divulgation responsable est aussi perçue par certains experts en cybersécurité comme une démarche "pro-business" qui favorise l'industriel en lui évitant un impact en réputation trop important. En n'ayant pas à assumer toutes les conséquences négatives possibles, les industriels pourraient ne pas être aussi incités que nécessaire dans l'adoption de mesures visant à prévenir l'introduction de vulnérabilités dans leur produit (revues de code, formation des développeurs, audits, etc.)^[10].

Notes et références

(en) Cet article est partiellement ou en totalité issu de l’article de Wikipédia en anglais intitulé « Responsible disclosure » (voir la liste des auteurs).

↑ (en) « Paper measuring the prevalence of responsible disclosure and model of the processes of the security ecosystem »
↑ (en) « Vulnerability Research - Facebook Joins Google, Mozilla, Barracuda in Paying Bug Bounties », sur eweek.com via Wikiwix, 3 août 2011 (consulté le 14 juillet 2023).
↑ (en) « Dan Kaminsky discovery of DNS cache poisoning »
↑ (en) « Researchers break the security of the MIFARE Classic cards »
↑ (en) « MIT students find vulnerability in the Massachusetts subway security »
↑ (en) « MD5 collision attack that shows how to create false CA certificates »
↑ (en) « Hacking Starbucks for unlimited coffee »
↑ (en) « "Responsible disclosure" gags are hiding cyber-risk », sur The Stack, 22 septembre 2025 (consulté le 16 octobre 2025)
↑ (en-US) « Schneier: Full Disclosure of Security Vulnerabilities a 'Damned Good Idea' », sur Schneier on Security (consulté le 15 octobre 2025)
↑ (en-US) « The Case Against ‘Responsible Disclosure’ – BRENDAN_CRAVEN », 21 octobre 2024 (consulté le 16 octobre 2025)

Portail de la sécurité des systèmes d'information

[1] (en) « Paper measuring the prevalence of responsible disclosure and model of the processes of the security ecosystem »

[2] (en) « Vulnerability Research - Facebook Joins Google, Mozilla, Barracuda in Paying Bug Bounties », sur eweek.com via Wikiwix, 3 août 2011 (consulté le 14 juillet 2023).

[3] (en) « Dan Kaminsky discovery of DNS cache poisoning »

[4] (en) « Researchers break the security of the MIFARE Classic cards »

[5] (en) « MIT students find vulnerability in the Massachusetts subway security »

[6] (en) « MD5 collision attack that shows how to create false CA certificates »

[7] (en) « Hacking Starbucks for unlimited coffee »

[8] (en) « "Responsible disclosure" gags are hiding cyber-risk », sur The Stack, 22 septembre 2025 (consulté le 16 octobre 2025)

[9] (en-US) « Schneier: Full Disclosure of Security Vulnerabilities a 'Damned Good Idea' », sur Schneier on Security (consulté le 15 octobre 2025)

[10] (en-US) « The Case Against ‘Responsible Disclosure’ – BRENDAN_CRAVEN », 21 octobre 2024 (consulté le 16 octobre 2025)

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]