Legal Restrictions on Vulnerability Disclosure

La Chute de la Divulgation Coordonnée

Le mouvement de divulgation coordonnée des vulnérabilités (CVD), né d’un compromis entre la divulgation complète et la rétention d’information par les entreprises, est aujourd’hui menacé par les accords contractuels imposés par les programmes de primes aux bugs gérés. Ces programmes conditionnent souvent la soumission de vulnérabilités à des clauses de confidentialité, empêchant les chercheurs de partager publiquement leurs découvertes. Cela contrevient à l’esprit initial du CVD, qui visait à encourager la correction des failles de sécurité par la transparence.

Points Clés :

• Le CVD a émergé comme un équilibre entre la divulgation complète (pour forcer les correctifs) et la rétention d’information (pour éviter l’exploitation).
• Les programmes modernes de primes aux bugs, souvent gérés par des plateformes tierces, introduisent des restrictions contractuelles.
• Ces restrictions, notamment les clauses de confidentialité, limitent la capacité des chercheurs à informer le public des vulnérabilités découvertes.
• Cela remet en cause le principe fondamental du CVD où la divulgation permet de garantir que les vulnérabilités sont corrigées.

Vulnérabilités :

• L’article ne mentionne pas de vulnérabilités spécifiques ni de CVE associées. La préoccupation porte sur la restriction de la divulgation des vulnérabilités en général.

Recommandations :

• Les chercheurs doivent comprendre leurs droits légaux lorsqu’ils soumettent des vulnérabilités sous de tels accords.
• Les plateformes et les entreprises sont appelées à revoir leurs pratiques pour s’aligner sur le principe original du CVD.
• Il est recommandé de bannir les accords qui imposent la non-divulgation des découvertes de vulnérabilités.

Source