Notifier les résultats du test du système suisse de traçage de proximité

Nous vous saurions gré de décrire votre constat (résultat de votre test) de manière aussi détaillée que possible afin de nous aider à le reproduire et à supprimer les failles le plus rapidement possible. Dans l'idéal, votre notification contient une description précise du problème que vous avez identifié et des conséquences que celui-ci entraîne. Vous pouvez y joindre des pièces (par ex. captures d'écran). 

À noter que le formulaire ci-après n'est pas destiné à l'envoi de questions générales sur la manière d'utiliser l'application ni aux demandes des médias. Nous vous remercions de votre compréhension et vous prions, au besoin, de consulter notre FAQ ou de vous adresser au service compétent (media@bag.admin.ch).  

 
 

Notifier le résultat d'un test

*
Courte description de la vulnérabilité (au maximum 250 caractères).
 
Description niveau de gravité voir ci-dessous sur cette page.
*
Présentez votre découverte de manière aussi détaillée que possible afin que nous puissions reproduire le problème et le résoudre au plus vite.
 
Décrivez les répercussions qu’entraîne cette vulnérabilité. Sur quels éléments l’exploitation de la faille a-t-elle une incidence?
 
Si disponible, une approche de solution peut être décrite ici.
 
Utilisez des fichiers ASCII (par exemple Markdown) pdf ou png pour la documentation.
*

Informations personnelles (facultatif)

Vous pouvez nous transmettre vos coordonnées personnelles. Cela nous permettra de prendre contact avec vous au cas où nous aurions des questions supplémentaires. Vous pouvez également nous indiquer si vous nous autorisez à publier votre nom et à annoncer que vous êtes à l’origine de la découverte de cette vulnérabilité.

 
 
 
Ce nom apparaît sur la page Web.
 
 


Définition: Niveau de gravité

Le degré de gravité d’une vulnérabilité peut être déterminé au moyen du «Common Vulnerability Scoring System» (CVSS). Le site Web du Forum of Incident Response and Security Teams met à disposition un outil interactif permettant d’effectuer cette évaluation (en anglais uniquement): https://www.first.org/cvss/calculator/3.0.

Critique (score CVSS v3: 9.0-10.0): une des caractéristiques des vulnérabilités critiques est qu'il n'est pas nécessaire d'avoir une interaction avec la personne ciblée. Ainsi, l'attaquant n'a pas besoin d'obtenir au préalable des informations particulières concernant sa cible. Un exemple typique de vulnérabilité critique est l'exécution de code à distance (Remote Code Execution). Cette catégorie de vulnérabilité peut être à l’origine, entre autres, de fuites de données personnelles ou de la perte d'anonymat.

Élevé (score CVSS v3: 7.0-8.9): pour pouvoir exploiter cette vulnérabilité, il est nécessaire d'interagir avec un utilisateur (ingénierie sociale). De cette manière, l'attaquant peut obtenir des privilèges étendus. Cette catégorie de vulnérabilité peut être à l’origine de fuites de données.

Moyen (score CVSS v3: 4.0-6.9): l'accès permettant d'exploiter cette vulnérabilité est restreint. En outre, l'attaquant doit se trouver dans le même système que sa victime. Cette catégorie de vulnérabilité ne concerne pas les données ou concerne uniquement une partie de celles-ci.

Faible (score CVSS v3: 0.1-3.9): cette vulnérabilité n'a pas d’incidence sur les fonctionnalités ou les données. Les problèmes de mise en page et les fautes d’orthographe appartiennent également à cette catégorie.

 

Dernière modification 28.05.2020

Début de la page

https://www.melani.admin.ch/content/melani/fr/home/public-security-test/reporting_form.html