Bien souvent, ceux qui découvrent une vulnérabilité ne savent absolument pas comment procéder ensuite. C’est dans cet optique là que vient de naître la plateforme ZeroDisclo, lancée par YesWeHack.
ZeroDisclo est un service simple, rapide et sécurisé (aussi accessible via Tor) permettant de signaler aux CERTs™ la découverte d’une d’une faille informatique. La plateforme a été présentée à l’occasion du FIC 2017 et des débats autour des programmes de Bug Bounty toujours plus nombreux. Le formulaire prend en compte l’évaluation de sa gravité grâce à son score CVSS.
Selon ses créateurs, ZeroDisclo est une plateforme qui fournit les moyens techniques et l’environnement nécessaire à tous pour adopter le signalement responsable de vulnérabilités communément appelé “Responsible Disclosure“. Une fois envoyées, les informations sont ensuite chiffrées via OpenPGP avec la clé du CERT directement dans le navigateur, horodatées et signées grâce à la blockchain et transmises automatiquement aux CERTs™ choisis parmi une liste exhaustive. En échange, le chercheur reçoit un certificat qui atteste de son dépôt.
Actuellement, les CERTs™ proposés par ZeroDisclo.com sont les CERT-EU, CERT-FR, CERT-AKAOMA et le CERT-UBIK créé par Digital Security sélectionné pour les remontées concernant les objets connectés. De plus, les entreprises qui le souhaitent peuvent s’abonner gratuitement sur ZeroDisclo.com pour être informées en temps réel des remontées de failles les concernant et le cas échéant, prendre contact avec les CERTs concernés afin d’en connaître les détails.
L’objectif de ZeroDisclo.com est de responsabiliser la communauté, de permettre aux chercheurs en sécurité de prouver leur bonne foi et d’offrir une alternative efficace, éthique et responsable face aux services divulguant des vulnérabilités sur Internet et au marché noir. Voici un graphique du principe de la plateforme :
Les commentaires sont fermés.