Divulgation responsable

Date d'effet : 27 janvier 2026

Notre approche

Lorsqu'ODINT decouvre des vulnerabilites dans les infrastructures numeriques gouvernementales, nous equilibrons l'interet public pour la transparence avec la responsabilite de minimiser les prejudices. Notre politique de divulgation est concue pour donner aux parties concernees un delai raisonnable pour traiter les problemes tout en garantissant que les decouvertes importantes atteignent finalement le public.

Principe directeur

Nous pensons que la divulgation publique des problemes de securite ameliore finalement la securite pour tous. Cependant, nous reconnaissons egalement que la divulgation immediate de vulnerabilites critiques peut causer des prejudices. Notre politique vise a equilibrer ces considerations.

Categories de divulgation

Vulnerabilites critiques

Problemes pouvant entrainer un prejudice immediat pour les individus (par exemple, donnees personnelles exposees, systemes permettant la surveillance de populations vulnerables). Nous notifions immediatement les parties concernees et accordons un delai de 30 a 90 jours pour la remediation avant la divulgation publique.

Problemes de severite elevee

Faiblesses de securite significatives pouvant etre exploitees (par exemple, contournements d'authentification, interfaces d'administration non protegees). Nous accordons un preavis de 60 jours avant publication.

Constatations generales

Infrastructure exposee representant une mauvaise pratique de securite mais posant un risque immediat limite (par exemple, versions de logiciels obsoletes, services mal configures). Nous pouvons publier sans preavis, bien que nous informions souvent les parties concernees par courtoisie.

Calendrier standard de divulgation

Processus type

Jour 0 Vulnerabilite decouverte et documentee

Jour 1-7 Notification initiale envoyee a la partie concernee via des canaux securises

Jour 14 Relance si aucune reponse recue

Jour 30-90 Fenetre de divulgation selon la gravite

Apres echeance Divulgation publique avec ou sans remediation

Methodes de notification

Nous tentons de contacter les parties concernees via :

Adresses de contact de securite officielles (security@, abuse@)
Fichiers security.txt publies
Organisations CERT/CSIRT nationales
Contact direct avec les departements gouvernementaux concernes

Facteurs affectant le calendrier

Nous pouvons prolonger ou raccourcir notre calendrier de divulgation en fonction de :

Gravite du prejudice : Les problemes plus graves beneficient de fenetres de remediation plus longues
Exploitation active : Les vulnerabilites deja exploitees peuvent etre divulguees immediatement
Reactivite : Les organisations travaillant activement sur des correctifs peuvent beneficier d'extensions
Interet public : Les problemes affectant les processus democratiques peuvent justifier une divulgation plus rapide
Coordination : Lorsque nous travaillons avec des partenaires, nous nous alignons sur une divulgation coordonnee

Ce que nous publions

Nos divulgations comprennent generalement :

Description de la vulnerabilite et des systemes affectes
Impact potentiel et evaluation des risques
Chronologie de nos tentatives de divulgation
Statut actuel (corrige ou non)
Recommandations pour les parties concernees

Nous ne publions pas de code d'exploitation fonctionnel ni d'informations techniques detaillees qui profiteraient principalement aux attaquants.

Exceptions

Nous pouvons nous ecarter de cette politique lorsque :

Une vulnerabilite est deja activement exploitee
La partie concernee refuse de s'engager ou menace d'actions en justice
La securite publique necessite une divulgation immediate
Une date de divulgation coordonnee a ete convenue avec des partenaires

Signaler une vulnerabilite dans les systemes ODINT

Si vous avez trouve un probleme de securite dans l'infrastructure d'ODINT, veuillez le signaler via notre page Contact securite.

Derniere mise a jour : 27 janvier 2026