www.belgium.be Logo of the federal government

Signalement des vulnérabilités au CCB

Chaque système informatique ou réseau peut comporter des vulnérabilités. Ces vulnérabilités peuvent être détectées tant par des personnes bien intentionnées que par des personnes mal intentionnées. En dehors de l’existence d’une politique de divulgation coordonnée des vulnérabilités (CVDP) ou bug bounty, la peur d’être poursuivi en justice empêche souvent les personnes bien intentionnées de rechercher et de signaler ces vulnérabilités.

Dans le cadre de la mise en œuvre de la stratégie nationale en matière de cybersécurité, un nouveau cadre légal a été adopté en Belgique pour résoudre cette situation.

Celui-ci permet désormais à toute personne physique ou morale, qui agit sans intention frauduleuse ou dessein de nuire, de rechercher et de signaler des vulnérabilités existantes dans des réseaux et systèmes d’information situés en Belgique pour autant que certaines conditions soient strictement respectées (voir les explications détaillées à ce propos).

L’une de ces conditions est de réaliser, le plus rapidement possible et selon la procédure prévue à cet effet, le signalement des vulnérabilités découvertes auprès du Centre pour la Cybersécurité Belgique (CCB)

A. Contexte

Le Centre pour la Cybersécurité Belgique (ci-après, le « CCB ») peut, en sa qualité de CSIRT national, recevoir le signalement de potentielle vulnérabilité par des personnes physiques ou morales (voir les articles 62/1 et 62/2 de la loi du 7 avril 2019 établissant un cadre pour la sécurité des réseaux et des systèmes d’information d’intérêt général pour la sécurité publique).

Une vulnérabilité est définie comme « une faiblesse, une susceptibilité ou une faille d’un réseau et système d’information qui peut être exploitée par une cybermenace ».

Dans l’hypothèse où une organisation responsable d’un réseau ou d’un système d’information (ci-après, organisation responsable) dispose d’une politique de divulgation coordonnée des vulnérabilités (ci-après, CVDP), les personnes qui découvrent une vulnérabilité dans le champ d’application de cette CVDP doivent contacter directement et uniquement l’organisation responsable. En cas de difficultés ou à défaut de réaction dans un délai raisonnable de l’organisation responsable, les participants à une CVDP peuvent alors contacter le CCB (rôle de coordinateur par défaut). Lorsque la vulnérabilité concerne également d’autres organisations qui ne disposent elles pas d’une CVDP, celle-ci peut néanmoins être transmise au CCB.

La procédure de signalement d’une vulnérabilité informatiques décrite ci-après est bien distincte des règles légales applicables aux personnes qui signalent des violations du droit européen ou du droit national constatés sur base d’informations obtenues dans un cadre professionnel. Ainsi, le signalement d’une violation des règles légales de protection de la vie privée et des données à caractère personnel ou de la sécurité des réseaux et des systèmes d’information devra respecter les règles légales prévues à ce effet (voir notamment la loi du 28 novembre 2022 sur la protection des personnes qui signalent des violations au droit de l’Union ou au droit national constatées au sein d’une entité juridique du secteur privé et la loi du 8 décembre 2022 relatif aux canaux de signalement et à la protection des auteurs de signalement d’atteintes à l’intégrité dans les organismes du secteur public fédéral et au sein de la police intégrée), éventuellement combinée avec les règles de la présente procédure.

B. Quelles sont vos obligations dans le cadre de la recherche d’une vulnérabilité et de son signalement ?

1° vous devez vous limiter strictement aux faits nécessaires au signalement d’une vulnérabilité. Ainsi, vous ne devez pas agir au-delà de ce qui est nécessaire et proportionné pour vérifier l’existence d’une vulnérabilité (voir ci-après le point C « proportionnalité et nécessité des actions »).

2° vous devez agir sans intention frauduleuse ou dessein de nuire.

Vous ne pouvez pas utiliser vos recherches pour des motifs frauduleux ou dans l’intention de nuire. Par exemple, vous ne pouvez pas tenter de monnayer les informations découvertes auprès de l’organisation responsable ou de tiers (sauf bien entendu, si une récompense ou une rémunération a été explicitement et préalablement prévue dans le cadre d’une convention de pentest, de bug bounty, etc).

Lorsque cela est possible et pour établir vos bonnes intentions, faites-vous connaître préalablement auprès de l’organisation responsable, lors de vos recherches, par exemple par l’utilisation d’un en-tête (header) ou d’un autre paramètre identifiable.

3° le plus rapidement possible à partir de la découverte de la vulnérabilité potentielle (et au moins au plus tard au moment du signalement au CSIRT national), vous devez informer de la vulnérabilité l’organisation responsable du système, du processus ou du contrôle.

Lorsque plusieurs personnes ont participé aux recherches, le signalement peut être effectué au nom de plusieurs personnes qui en assument alors collectivement la responsabilité. Par facilité, plusieurs vulnérabilités concernant la même organisation responsable peuvent être également communiquées dans un seul signalement. Il est toutefois nécessaire de réaliser à chaque fois un signalement distinct par organisation concernée.

Afin d’établir la rapidité de votre signalement, il vous est recommandé de conserver les preuves des actions entreprises (logging) vis-à-vis du réseau et système d’information concerné et de communiquer ces informations au CCB au moment du signalement.

4° vous devez procéder, le plus rapidement possible, au signalement de la vulnérabilité découverte au CCB (en cas d’absence d’une CVDP), par écrit et selon les modalités reprises ci-après (point D).

Afin d’établir la rapidité de votre signalement, il vous est recommandé de conserver les preuves des actions entreprises (logging) vis-à-vis du système, du processus ou du contrôle concerné et de communiquer ces informations au CCB au moment du signalement. Il est également recommandé de faire le signalement avant toute résistance active de l'organisation responsable (par ex, la fermeture des ports) et/ou tout acte d'enquête criminelle, afin de souligner la rapidité du signalement.

5° vous ne devez pas divulguer publiquement les informations relatives à la vulnérabilité découverte, sans l’accord du CSIRT national (CCB).

C. Proportionnalité et nécessité des actions

Vos actions doivent être limitées strictement aux faits nécessaires pour permettre la recherche et le signalement d’une vulnérabilité d’un réseau et système d’information.

Peuvent être considérés comme de tels faits :

  • l’accès ou la tentative d’accès non autorisée à un système informatique (art. 550 bis 1 et 4 du Code pénal) ;
  • le dépassement ou la tentative de dépassement d’une autorisation d’accès à un système informatique (550 bis 2 et 4 du Code pénal) ;
  • la reprise ou la copie de données informatiques (art. 550 bis, § 3 du Code pénal) ;
  • l’élaboration ou la détention de hacking tools ( 550 bis, § 5 du Code pénal);
  • la détention, la révélation, l’usage ou la divulgation d’information issues d’un accès non autorisé – par exemple, des informations disponibles sur internet (550 bis 7 du Code pénal) ;
  • l’introduction ou la modification de données dans un système informatique (550 ter du Code pénal) ;
  • l’interception ou la tentative d’interception de communications (art. 314 bis du Code pénal et/ou l’article 145 de la loi du 13 juin 2005 relative aux communications électroniques) ;
  • la violation d’une obligation de secret professionnel ou d’une obligation contractuelle de confidentialité ;

Vos actions et vos méthodes de recherches doivent rester nécessaire et proportionnée au regard de l’objectif poursuivi de vérifier l’existence d’une vulnérabilité en vue d’améliorer la sécurité du système, du processus ou du contrôle concerné. Les techniques utilisées doivent donc être strictement nécessaires et proportionnées à la démonstration d’une faille de sécurité.

Si la démonstration est établie à petit échelle, vous ne pouvez aller plus loin dans votre recherche. Le but n’est pas d’utiliser la vulnérabilité afin de examiner jusqu’où on peut pénétrer dans un système, un processus ou un contrôle. De même, il n’est pas justifié de perturber la disponibilité des services fournis par l’équipement concerné.

Si cela n’est pas strictement nécessaire à la démonstration de l’existence d’une vulnérabilité, l’utilisation et la conservation de données issues du système, processus ou contrôle ne peuvent pas être effectuées. De même, toutes les données collectées devraient être supprimées dans un délai raisonnable après le signalement. Si cela s’avère nécessaire de conserver ces données encore pendant un certain temps ou si une procédure judiciaire est en cours, vous devez veiller à ce que ces données sont conservées en toute sécurité durant cette période.

Peuvent être considérés comme des actions disproportionnées et/ou non nécessaires : 

  • l’installation d’un logiciel malveillant (malware) : virus, vers (worm), chevaux de Troie (trojan horse, ou autre ;
  • les attaques par déni de service (Distributed Denial Of Service- DDOS) ;
  • les attaques par ingénierie sociale (social engineering) ;
  • les attaques par hameçonnage (phishing) ;
  • les attaques par courriels indésirables (spamming) ;
  • le vol de mots de passe ou l’attaque en force de mots de passe (brute force) ;
  • la suppression de données du système informatique ;
  • la réalisation d’un dommage prévisible causé au système visité ou encore à ses données ;
  • toutes autres infractions que celles mentionnées sous C (p.ex. cambriolage, vol, agression, etc).

Enfin, vous devez tenir compte également du fait que si vos recherches de vulnérabilité sont réalisées sur des réseaux ou systèmes d’information situés en tout ou en partie en dehors du territoire belge, la présente procédure de signalement ne vous protégera qu’en Belgique et non dans les autres pays concernés.

D. Comment signaler une vulnérabilité de sécurité au CSIRT national (CCB) ?

Vous devez adresser exclusivement les informations découvertes à l’adresse courriel suivante: vulnerabilityreport[at]ccb.belgium.be, et/ou en complétant le formulaire suivant: 

Le formulaire complété doit nous parvenir en format word ou PDF protégé avec un mot de passe ou zip (pour éviter un éventuel blocage par nos filtres anti-virus).

Le fichier doit faire au total maximum 7 MB.

Dans la mesure du possible, nous vous invitons à utiliser les moyens de communication sécurisés suivants :

PGP Key ID:  0x31A9EA55

Type: RSA-4096 Key

Fingerprint: 8E98 3C10 BC8D 23BA EE1B  9CB9 670C A658 31A9 EA55

Protégez le formulaire avec un mot de passe lequel peut nous être communiqué par e-mail.

Fournissez suffisamment d’informations pour nous permettre de comprendre la vulnérabilité et de la résoudre le plus rapidement possible.

 E. Conséquences du signalement

Pour autant que vous respectiez strictement toutes les conditions reprises au point B, une cause de justification peut être acceptée de façon limitative pour les infractions 314 bis, 550 bis, 550 ter du Code pénal et de l’article 145 de la loi du 13 juin 2005 relative aux communications électroniques.

Lorsque vous signalez des informations sur une potentielle vulnérabilité dont vous avez eu connaissance dans votre contexte professionnel, vous n’êtes pas considéré comme ayant enfreint votre obligation de secret professionnel et n’encourez aucune responsabilité d’aucune sorte concernant la transmission d’informations nécessaires pour signaler une potentielle vulnérabilité au CCB.

Toute autre responsabilité éventuelle des auteurs de signalement découlant d’actes ou d’omissions qui ne sont pas nécessaires à l’accomplissement de la procédure de signalement et ne respectent pas toutes les conditions reprises au point B continue d’être punissable pénalement et civilement.

Il est important de tenir compte du fait que cette protection légale est limitée à l’application du droit belge et ne vous protège pas à l’égard des éventuelles infractions commisses en vertu du droit d’autres pays.

Enfin, si vous le sollicitez et si les conditions reprise au point B sont remplies, le CCB s’engage à respecter la confidentialité de votre identité.

F. Procédure

Lorsqu’il reçoit un signalement, le CCB s’engage à envoyer à l’auteur du signalement un accusé de réception.

A défaut de réception d’un accusé de réception dans un délai raisonnable ou en cas de question particulière, la personne pourra, le cas échéant, contacter adresser un e-mail à l’adresse vulnerabilitydisclosure[at]ccb.belgium.be.

L’auteur du signalement et le CCB s’engagent à mettre tout en œuvre pour assurer une communication continue et efficace, afin d’identifier la vulnérabilité et d’y apporter une solution.

Le CCB, en collaboration les services compétents du Ministère public, examinera le respect des conditions reprises aux points B et C.

G. Données à caractère personnel

Lors de vos recherches et du signalement d’une vulnérabilité, il est possible que vous soyez confronté à des données à caractère personnel.

Le traitement de données à caractère personnel a une portée large et inclut notamment la conservation, la modification, l’extraction, la consultation, l’utilisation ou la communication de toute information pouvant se rapporter à une personne physique identifiée ou identifiable. Le caractère « identifiable » de la personne ne dépend pas de la simple volonté d’identification de celui qui traite les données mais de la possibilité d’identifier, directement ou indirectement, la personne à l’aide de ces données (par exemple : une adresse de courriel, numéro d’identification, identifiant en ligne, adresse IP ou encore des données de localisation).

Dans ce cas, veillez à respecter vos obligations en matière de protection des données à caractère personnel (RGPD) en qualité de responsable de traitement.

En respectant les principes de nécessité et de proportionnalité, vous devez vous limiter au strict minimum le traitement éventuel de telles données et exclure leur utilisation pour d’autres finalités que celle de démontrer l’existence d’une vulnérabilité, de démontrer la réalité de vos actions et de communiquer ses informations à l’organisation responsable, ainsi qu’au CCB. Lorsque la démonstration de l’existence d’une vulnérabilité est possible moyennant quelques données à caractère personnel, il n’est pas nécessaire de traiter ou de conserver l’ensemble des données accessibles.

Vous devez notamment veiller à ce que les données que vous êtes éventuellement amené à traiter soient conservées en garantissant un niveau de sécurité adapté aux risques encourus (de préférence de manière chiffrée et anonymisée) et que ces données soient supprimés immédiatement après la fin du traitement (jusqu’à la fin de la procédure de signalement ou éventuellement en cas de contestations ou de procédure judiciaire jusqu’à la fin de la procédure).

Vous devez également informer l’organisation responsable et l’Autorité de protection des données (APD), dans les meilleurs délais et au plus tard 72 heures après en avoir pris connaissance, de la perte éventuelle de ces données qui serait susceptible d’engendrer un risque pour les droits et libertés des personnes physiques des personnes concernées (voir les explications et la procédure requise sur site internet de l’APD.