Procédure légale de signalement de vulnérabilités au CCB

Le Centre pour la Cybersécurité Belgique (ci-après, le « CCB ») peut, en sa qualité de CSIRT national, recevoir le signalement de potentielle vulnérabilité par des personnes physiques ou morales (voir les articles 22 et 23 de la loi du 26 avril 2024 établissant un cadre pour la cybersécurité des réseaux et des systèmes d'information d'intérêt général pour la sécurité publique – ci-après « loi NIS2 »).

En dehors de la procédure légale de signalement, le CCB joue également un rôle supplétif de coordinateur (par défaut) dans le cadre de l’application en Belgique de politiques de divulgations coordonnées des vulnérabilités ou de bug bounty (assistance, coordination, partage d’information, etc.).

Caractéristiques générales de la procédure légale de signalement de vulnérabilités

1° vous ne devez pas agir au-delà de ce qui est nécessaire et proportionné pour vérifier l'existence d'une vulnérabilité et la signaler (voir ci-après le point C « proportionnalité et nécessité des actions »).

2° vous devez agir sans intention frauduleuse ou dessein de nuire.

Vous ne pouvez pas utiliser vos recherches pour des motifs frauduleux ou dans l’intention de nuire. Par exemple, vous ne pouvez pas tenter de monnayer les informations découvertes auprès de l’organisation responsable ou de tiers (sauf bien entendu, si une récompense ou une rémunération a été explicitement et préalablement prévue dans le cadre d’une convention de pentest, de bug bounty, etc.). De même et sans accord contractuel de l’organisation responsable, vous ne pouvez pas utiliser la vulnérabilité découverte dans le but d’en tirer un avantage personnel ou pour un tiers.

Lorsque cela est possible et pour établir vos bonnes intentions, faites-vous connaître préalablement auprès de l’organisation responsable, lors de vos recherches, par exemple par l’utilisation d’un en-tête (header) ou d’un autre paramètre identifiable.

3° sans retard injustifié et au plus tard dans les 24 heures suivant la découverte d'une vulnérabilité potentielle, vous devez adresser une notification simplifiée de la vulnérabilité à l'organisation responsable et au CCB, selon la procédure décrite au point D.

Le signalement d'une vulnérabilité se fait en deux étapes : d'abord une notification simplifiée dans les 24h, puis une notification complète dans les 72h au plus tard. L'objectif de la première notification est d'informer l'organisation concernée et le CCB qu'une vulnérabilité potentielle a été découverte. Elle contient une identification des systèmes concernés et une description simplifiée de la vulnérabilité potentielle.

Le délai commence à courir à partir du moment où la personne devait raisonnablement avoir eu connaissance de la découverte d’une potentielle vulnérabilité (voir la définition), c’est-à-dire après une période raisonnable d’investigation et de validation qui permet d’établir une possible vulnérabilité.

Vous ne pourrez pas bénéficier de la protection légale si vous n’informez pas l’organisation concernée et le CCB dans les délais requis.

4° sans retard injustifié et au plus tard dans les 72 heures suivant la découverte d’une vulnérabilité potentielle, vous devez adresser une notification complète de la vulnérabilité à l’organisation responsable et au CCB, selon la procédure décrite au point D.

La notification complète contient une description détaillée de la vulnérabilité, y compris les étapes précises pour la reproduire, ainsi que d’autres informations techniques telles que les détails de la configuration, le système d’exploitation, les outils utilisés, etc.

Lorsque plusieurs personnes ont participé aux recherches, la notification simplifiée et la notification complète peuvent être effectuées au nom de plusieurs personnes qui en assument alors collectivement la responsabilité. Par facilité, plusieurs vulnérabilités concernant la même organisation responsable peuvent être également communiquées dans une seule notification simplifiée ou complète. Il est toutefois nécessaire de réaliser à chaque fois une notification distincte par organisation concernée.

Afin d’établir la rapidité de vos signalements, il vous est recommandé de conserver les preuves des actions entreprises (logging) vis-à-vis du système, du processus ou du contrôle concerné et de communiquer ces informations au CCB au moment des signalements. Dans le respect des deux délais, il est également recommandé de faire le signalement avant toute résistance active de l’organisation responsable (par ex., la fermeture des ports) et/ou tout acte d’enquête criminelle, afin de souligner la rapidité des signalements.

5° vous ne devez pas divulguer publiquement les informations relatives à la vulnérabilité découverte, sans l’accord du CCB.

Vous ne devez pas avoir rendu accessible au public (ou partagé à des tiers non impliqués dans les recherches), sans l’accord préalable du CCB, les informations fournies dans le cadre du signalement, lesquelles permettraient d'identifier l'organisation concernée, les systèmes vulnérables, la vulnérabilité spécifique et la manière dont celle-ci peut être exploitée.

Vous devez communiquer la vulnérabilité à l'organisation concernée et au CCB mais sa divulgation publique ultérieure demeure facultative et doit être réalisée, dans tous les cas, de manière coordonnée (en tenant compte des intérêts des parties concernées et risques existants – notamment de l’intérêt public d’une divulgation) – voir ci-après point F. Procédure.

Si plusieurs organisations sont concernées par la même vulnérabilité, vous pouvez introduire plusieurs procédures de signalement pour chaque organisation concernée.

Cela n'empêche pas le chercheur de parler en termes généraux de certains types de vulnérabilités (sans mentionner la vulnérabilité précise rapportée, l’organisation concernée ou la méthode utilisée).

6° concernant les réseaux et systèmes d’information de certaines organisations, vous devez, avant de commencer votre recherche, conclure un accord écrit de recherche de vulnérabilité avec le service concerné.

Cette condition supplémentaire n’est applicable que les systèmes d’information des organisations suivantes (et pour les informations traitées par ou pour elles) : SGRS, VSSE, OCAM, ministère de la Défense, services de police, missions diplomatiques et consulaires belges en dehors de l’UE, établissements nucléaires de classe I, NCCN et CCB ou instances judiciaires. Un tel accord peut, par exemple, prendre la forme d’une politique CVD adoptée par l’organisation.

Vos actions doivent être limitées à ce qui est nécessaire et proportionné pour permettre la découverte et le signalement d’une vulnérabilité dans un réseau ou système d’information.

En fonction du contexte, les actions suivantes peuvent notamment être considérés comme des actions proportionnées (liste non exhaustive) :

• l’accès ou la tentative d’accès non autorisée à un système informatique (art. 550bis 1 et 4 du Code pénal ; art. 524 et 527 du nouveau Code pénal) ;
• le dépassement ou la tentative de dépassement d’une autorisation d’accès à un système informatique (art. 550bis 2 et 4 du Code pénal ; art. 525 et 527 du nouveau Code pénal) ;
• la reprise ou la copie de données informatiques (art. 550bis, § 3 du Code pénal ; art. 526 du nouveau Code pénal) ;
• l’élaboration ou la détention de hacking tools ( 550bis, § 5 du Code pénal ; art. 528 du nouveau Code pénal) ;
• la détention, la révélation, l’usage ou la divulgation d’information issues d’un accès non autorisé – par exemple, des informations disponibles sur internet (art. 550bis 7 du Code pénal ; art. 530 du nouveau Code pénal) ;
• l’introduction ou la modification de données dans un système informatique (art. 550ter du Code pénal ; art. 531-533 du nouveau Code pénal) ;
• l’interception ou la tentative d’interception de communications (art. 314bis du Code pénal ; 342-346 du nouveau Code pénal ; et/ou l’art. 145 de la loi du 13 juin 2005 relative aux communications électroniques) ;
• la violation d’une obligation de secret professionnel ou d’une obligation contractuelle de confidentialité (art. 458 du Code pénal ; art. 352 du nouveau Code pénal).

Vos actions et vos méthodes de recherches doivent rester nécessaire et proportionnée au regard de l’objectif poursuivi de vérifier l’existence d’une vulnérabilité en vue d’améliorer la sécurité du système, du processus ou du contrôle concerné. Les techniques utilisées doivent donc être nécessaires et proportionnées à la démonstration d’une faille de sécurité.

Si la démonstration est possible à petit échelle, vous ne pouvez pas aller plus loin dans votre recherche. Le but n’est pas d’utiliser la vulnérabilité afin d’examiner jusqu’où on peut pénétrer dans un système, un processus ou un contrôle. De même, il n’est pas justifié de perturber la disponibilité des services fournis par l’équipement concerné.

Si cela n’est pas nécessaire à la démonstration de l’existence d’une vulnérabilité, l’utilisation et la conservation de données issues du système, processus ou contrôle ne peuvent pas être effectuées. De même, toutes les données collectées devraient être supprimées dans un délai raisonnable après le signalement. Si cela s’avère nécessaire de conserver ces données encore pendant un certain temps ou si une procédure judiciaire est en cours, vous devez veiller à ce que ces données sont conservées en toute sécurité durant cette période.

En fonction du contexte, les actions suivantes peuvent notamment être considérés comme des actions disproportionnées et/ou non nécessaires (liste non exhaustive) :

• l’installation d’un logiciel malveillant (malware) : virus, vers (worm), chevaux de Troie (trojan horse, ou autre ;
• des attaques par déni de service (Distributed Denial Of Service- DDOS) ;
• des attaques par ingénierie sociale (social engineering) ;
• des attaques par hameçonnage (phishing) ;
• des attaques par courriels indésirables (spamming) ;
• des vol de mots de passe ou l’attaque en force de mots de passe (brute force) ;
• la suppression de données du système informatique ;
• la réalisation d’un dommage raisonnablement prévisible causé au système visité ou encore à ses données ;
• d’autres infractions du Code pénal qui ne sont pas mentionnées dans la liste ci-dessus (p.ex. cambriolage, vol, agression, etc.).

Enfin, vous devez tenir compte également du fait que si vos recherches de vulnérabilité sont réalisées sur des réseaux ou systèmes d’information situés en tout ou en partie en dehors du territoire belge, la présente procédure de signalement ne vous protégera qu’en Belgique et non dans les autres pays concernés.

Vous devez adresser exclusivement les informations découvertes à l’adresse courriel suivante: vulnerabilityreport[at]ccb.belgium.be, avec le formulaire suivant: 

Le formulaire complété doit nous parvenir en format word ou PDF protégé avec un mot de passe ou zip (pour éviter un éventuel blocage par nos filtres anti-virus).

Le fichier doit faire au total maximum 7 MB.

Vérifiez le point B, 3° et 4° afin de déterminer quel formulaire envoyer quand.

Dans la mesure du possible, nous vous invitons à
utiliser des moyens de communication sécurisés cf. utiliser la clé PGP correspondant à "Vulnerability Report"

Protégez le formulaire avec un mot de passe lequel peut nous être communiqué par e-mail.

Fournissez suffisamment d’informations pour nous permettre de comprendre la vulnérabilité et de la résoudre le plus rapidement possible.

Pour autant que vous respectiez toutes les conditions reprises au point B, une cause de justification peut être acceptée de façon limitative pour les infractions aux articles 314bis, 550bis, et 550ter du Code pénal (voir références des articles correspondants dans le nouveau Code pénal - art. 342, 343, 352, 524 à 533), ainsi qu’à l’article 145 de la loi du 13 juin 2005 relative aux communications électroniques.

Lorsque vous signalez des informations sur une potentielle vulnérabilité dont vous avez eu connaissance dans votre contexte professionnel, vous n’êtes pas considéré comme ayant enfreint votre obligation de secret professionnel et n'encourez aucune responsabilité d'aucune sorte concernant la transmission d'informations nécessaires pour signaler une potentielle vulnérabilité au CCB.

Toute autre responsabilité éventuelle des auteurs de signalement découlant d'actes ou d'omissions qui ne sont pas nécessaires à l'accomplissement de la procédure de signalement et qui ne respectent pas toutes les conditions reprises au point B, demeure inchangée. Ces actes ou omissions continuent d’être punissable pénalement et civilement.

Il est important de tenir compte du fait que cette protection légale est limitée à l’application du droit belge et ne vous protège pas à l’égard des éventuelles infractions commisses en vertu du droit d’autres pays.

Enfin, si vous le sollicitez et si les conditions reprise au point B sont remplies, le CCB s’engage à respecter la confidentialité de votre identité.

Lorsqu’il reçoit un signalement d’une vulnérabilité, le CCB s’engage à envoyer à l’auteur du signalement un accusé de réception.

A défaut de réception d’un accusé de réception dans un délai raisonnable ou en cas de question particulière, la personne pourra, le cas échéant, contacter vulnerabilitydisclosure[at]ccb.belgium.be.

Lors de l’envoi du signalement ou au cours de la procédure, l’auteur du signalement peut solliciter le bénéfice de l’anonymat (et en bénéficier si les conditions de la procédure légale sont respectées).

L’auteur du signalement et le CCB s’engage à mettre tout en œuvre pour assurer une communication continue et efficace, afin d’identifier la vulnérabilité et d’y apporter une solution.

Sur base des éléments à sa disposition, le CCB effectuera un examen raisonnable du respect des conditions de la procédure légale de signalement (délais, comportement/actions du chercheur, absence de divulgation publique sans accord préalable, éventuel accord écrit préalable pour certaines organisations), voir les points B et C, le cas échéant, en collaboration les services compétents du Ministère public. Le CCB n’est toutefois pas habilité à statuer de manière définitive sur le respect ou non de ces conditions, ce qui relèvent de la compétence des seules autorités judiciaires.

Le CCB pourra observer, étudier ou tester de la sécurité d'un réseau et système d'information afin de déterminer l'existence d'une vulnérabilité potentielle ou de vérifier les méthodes utilisées par l'auteur d’un signalement. Toutefois, il n’a pas l’obligation de valider formellement ou tester lui-même chaque « potentielle vulnérabilité » qui lui est signalée.

Si le chercheur souhaitez que la vulnérabilité soit rendue publique, il doit en faire la demande formelle auprès du CCB, qui prendra contact avec lui et l’organisation concernée par la vulnérabilité pour examiner la possibilité d’une divulgation et négocier les délais.

La décision d’autoriser une éventuelle divulgation publique revient au Management du CCB sur base des informations fournies par les différentes parties concernées.

Le CCB statuera, en prenant en compte notamment les éléments suivants (liste non limitative) :

1. la gravité de la vulnérabilité et la mesure dans laquelle elle peut être exploitée ;
2. la criticité des organisations touchées par la vulnérabilité (par exemple, entités essentielles ou importantes dans le contexte de la NIS2) ;
3. la mesure dans laquelle la vulnérabilité peut être détectée et la probabilité qu'elle soit exploitée par d'autres ;
4. la mise en œuvre d'une solution sur les systèmes d'information concernés ;
5. la possibilité ou non de valider la vulnérabilité.

L’autorisation explicite de divulgation, ou l'absence de celui-ci après l'expiration d’un délai raisonnable, n'implique pas une décision de validation de la vulnérabilité, mais uniquement que le CCB ne dispose d'aucune information ou d'informations insuffisantes pour s'opposer à la divulgation au motif qu'elle présentait un risque pour la sécurité publique (pour les systèmes d'information de l'organisation concernée ou d'autres organisations).

En cas d’absence de décision dans un délai raisonnable à partir de la demande formelle de divulgation publique (expiration d’un délai de 90 jours), le chercheur peut considérer que le CCB n’a pas d’objection ou d’éléments pour s’opposer à la divulgation publique de la vulnérabilité.

Traitement de données à caractère personnel par le chercheur

Lors de vos recherches et du signalement d’une vulnérabilité, il est possible que vous soyez confronté à des données à caractère personnel.

Le traitement de données à caractère personnel a une portée large et inclut notamment la conservation, la modification, l'extraction, la consultation, l'utilisation ou la communication de toute information pouvant se rapporter à une personne physique identifiée ou identifiable. Le caractère « identifiable » de la personne ne dépend pas de la simple volonté d'identification de celui qui traite les données mais de la possibilité d'identifier, directement ou indirectement, la personne à l'aide de ces données (par exemple : une adresse de courriel, numéro d'identification, identifiant en ligne, adresse IP ou encore des données de localisation).

Dans ce cas, l’auteur du signalement doit veiller à respecter ses obligations en matière de protection des données à caractère personnel en qualité de responsable de traitement en vertu du Règlement général sur la protection des données (RGPD).

En respectant les principes de nécessité et de proportionnalité, il doit limiter au strict minimum le traitement éventuel de telles données à caractère personnel et exclure leur utilisation pour d’autres finalités que celle de démontrer l’existence d’une vulnérabilité, de démontrer la réalité de ses actions et de communiquer ces informations à l’organisation responsable, ainsi qu’au CCB. Lorsque la démonstration de l’existence d’une vulnérabilité est possible moyennant une quantité limitée de données à caractère personnel, il n’est pas nécessaire de traiter ou de conserver l’ensemble des données accessibles.

L’auteur du signalement doit notamment veiller à ce que les données qu’il est éventuellement amené à traiter soient conservées en garantissant un niveau de sécurité adapté aux risques encourus (de préférence de manière chiffrée et anonymisée) et que ces données soient supprimées immédiatement après la fin du traitement (jusqu’à la fin de la procédure de signalement ou éventuellement en cas de contestations ou de procédure judiciaire jusqu'à la fin de la procédure).

Si la perte éventuelle de ces données à caractère personnel serait susceptible d'engendrer un risque pour les droits et libertés des personnes concernées, l’auteur du signalement doit également informer l’organisation responsable et l’Autorité de protection des données (APD), dans les meilleurs délais et au plus tard 72 heures après en avoir pris connaissance (voir les explications et la procédure requise sur site internet de l’APD.

Traitement de données à caractère personnel par l’organisation concernée

Si une organisation est informée d'une vulnérabilité par le CCB, elle doit évaluer si cette vulnérabilité peut être considérée comme une violation de données à caractère personnel qui doit être signalée à l'autorité compétente en matière de protection des données en vertu du RGPD.

En cas de violation potentielle de données à caractère personnel susceptible de présenter un risque pour les droits et libertés des personnes physiques, le CCB rappelle à toutes les organisations concernées qu'il incombe au responsable du traitement d'en informer l'Autorité de protection des données (APD) dans les plus brefs délais et au plus tard dans les 72 heures suivant la constatation de la violation (voir les explications et la procédure à suivre sur le site web de l'APD).