[Question ouverte] Que faire quand on trouve une faille ? - Page 1

Je pense que le titre est assez clair

Au cours de sa vie, que ce soit par le boulot ou par hasard, sans le faire exprès ou en la cherchant un peu, on arrive très vite au moment où on peux tomber sur une faille dans un système.

L'actualité est assez brûlante sur le sujet avec l'affaire Bluetouff où la faille était assez criante mais sa gestion assez calamiteuse (publication sur des blogs).

Mais je crois que c'est Warpten qui est tombé sur un problème d'ego où le dev a mal pris qu'on lui montre une faille. Mais j'imagine que c'est exactement la même chose si c'est une entreprise qui est en jeu car admettre son erreur n'est jamais facile ...

De plus avec le rôle de la prestation (si le client apprends d'un tiers que le produit livré n'est pas secure, j'imagine que ça passe mal ...), les choses peuvent vite s'envenimer. En fait une faille, c'est toujours mauvais.

Pour finir, je me souviens de cette affaire d'un étudiant canadien qui avait montré les failles du système d'information de sa fac : http://www.cbc.ca/news/canada/montreal/company-offers-scholarship-to-dawson-student-who-exposed-security-flaws-1.1314023

Bref, pour vous, quel est la bonne marche à suivre en cas de découverte de faille ? Se taire pour ne rien risquer ? Rester le plus anonyme possible ? Y aller cash ? Publier anonymement ?

Je dirais y réagir sous une fausse identité. La bonne attitude est de la dénoncer, la prudence devant ces cas particuliers est de ne pas révéler qui l'a décelé.
Et avant de la révéler, modifier/retirer son compte pour s'assurer qu'on ne serait pas dans la tempête si quelqu'un d'autre découvrait et exploitait cette faille d'ici à ce qu'elle soit comblée.

Commencer par contacter anonymement le(s) responsable(s). S'il(s) ne répond(ent) pas ou qu'il(s) s'en lave(nt) les mains, rendre l'info publique, toujours anonymement.
C'est triste, mais quand on constate ce qui arrive la plupart du temps, donner son identité c'est trop risqué.

(me dis pas que tu as trouvé une faille dans yN ? )

non, surtout pas divulguer sans conseil légal initial.

GARDE TOUT SECRET, N'EN PARLE A PERSONNE, NE DIVULGUE RIEN ANONYMEMENT OU NON.

L'anonymité est très difficile à atteindre.

Tu me contactes en direct et je te donnerai les coordonnées d'un journaliste en sécurité informatique sérieux qui a des amis avocats qui te conseilleront, il connait très bien le sujet.

relis l'affaire Serge Humpich qui a trouvé une faille dans les CB.

Perso, je contacterais l'ANSSI

Ouais, si c'est en France et que c'est dans un système plus ou moins industriel, essaie de contacter l'ANSSI.

Donc ça illustre bien ce que je pensais :

-- Si c'est une faille dans un système "important", mieux vaut contacter l'ANSSI ou un journaliste;
-- Sinon mieux vaut se taire ou essayer de communiquer avec l'organisme en gardant l'anonymat (risqué).

Bon, dans mon cas je m'étais posé la question il y a quelques mois quand j'avais un peu regardé ce qui se passait sous le capot de certaines applications Android et que j'avais remarqué que certains contenus payants étaient accessibles gratuitement si on savait où chercher (je ne cherchais pas ça à l'origine ...).

Si avertir les entités concernées m'a d'abord paru une bonne idée, j'ai pris le temps de réfléchir et je pense que le mieux dans mon cas est de ne rien faire.

-- Tiens ça a posté 2 fois --

Donc la faille ne compromet pas l'intérêt public (pas d'accès à des données d'utilisateurs) et n'est pas non plus critique pour l'entreprise (pas d'accès à des données confidentielles) ?

-> laisse tomber direct. Ça ne vaut pas la peine de risquer des ennuis pour ça. Et les mesures de protection de leur contenu payant, c'est leur problème, pas le tien.

C'est exactement ça ^^

Jamais je ne contacterai la boîte directement. On ne sait pas sur qui on va tomber, ils peuvent très bien s'exciter pour rien.

absolument. le risque est très important de se prendre un retour de boomerang alors qu'on a pris toutes les précautions pour montrer sa gentillesse. armada de conseillers professionnels indispensable.

on retrouve le lien avec l'histoire de bluetouff dans l'actu info

ouep. c'est vrai. Si tu as réalisé que tu avais un accès non autorisé, il ne faut ni y rester, ni en garder une preuve.

"Mais je l'ai pas gardé, d'ailleurs pour m'en débarrasser je l'ai publié aussitôt"