Divulgation de vulnérabilité

Définition - Que signifie la divulgation de vulnérabilité?

Une divulgation de vulnérabilité est une politique pratiquée par des organisations ainsi que des individus concernant la divulgation ou la publication d'informations concernant les vulnérabilités de sécurité et les exploits relatifs à un système informatique, un réseau ou un logiciel. Cela est dû au fait que les pirates éthiques et les experts en sécurité informatique estiment qu'il est de leur responsabilité sociale de sensibiliser le grand public aux vulnérabilités qui pourraient les impacter, sinon le silence pourrait conduire à un faux sentiment de sécurité et amener les gens à se montrer complaisants. , entraînant de nouveaux risques.

La divulgation des vulnérabilités est également connue sous le nom de divulgation complète des vulnérabilités ou simplement de divulgation complète.

Definir Tech explique la divulgation de vulnérabilité

La divulgation de vulnérabilité est la pratique consistant à publier les détails d'une vulnérabilité de sécurité au grand public pour examen et à forcer les fournisseurs de logiciels et de matériel à corriger rapidement ces problèmes. Avant la divulgation des vulnérabilités, les éditeurs de logiciels et de matériel s'appuyaient sur la sécurité du secret, c'est-à-dire qu'ils espéraient que les vulnérabilités dont ils disposaient ne seraient pas découvertes et exploitées par des pirates. Cependant, les pirates informatiques ont prouvé à maintes reprises que si une vulnérabilité existe, ils la découvriront probablement tôt ou tard.

Avant que la divulgation des vulnérabilités ne devienne une pratique courante, les chercheurs en sécurité qui signalaient les vulnérabilités qu'ils découvraient étaient souvent ignorés, et certains menaçaient même de poursuites si les vulnérabilités devenaient connues. Certaines entreprises ont même traité ces vulnérabilités comme «théoriques» jusqu'à ce qu'un hacker ingénieux les trouve et les exploite. À ce moment-là, l'entreprise devrait rapidement développer un correctif puis s'excuser abondamment auprès de leurs clients. C'est pourquoi un groupe d'entreprises et de chercheurs en sécurité se sont réunis pour former une «divulgation de responsabilité», qui s'appuyait sur la menace de publication de la vulnérabilité pour obliger l'entreprise en question à y remédier.

Le processus de divulgation d'une vulnérabilité démarre lorsqu'une vulnérabilité est découverte dans un ordinateur ou un système matériel. La personne qui l'a découverte informe l'entreprise avec des détails sur la vulnérabilité afin qu'elle puisse agir. Après 45 jours, que l'entreprise ait publié un correctif ou non, la vulnérabilité est divulguée publiquement.