Bonjour ,

J'ai trouvé une faille XSS sur le site web d'une administration (mairie de ville) .. tres simple à trouver d'ailleurs ...

Selon vous est il important que je les préviennent ?
En fait , j'ai un peut peur de leurs réactions ... car je n'ai pas trouvé cette faille en navigant normalement sur ce site ..

Mais je suis développeur en entreprise , et quand j'ai vue l'url , j'ai voulu vérifier ...
Maintenant que faire ?

Le garder pour moi et les laisser dans le risque ?
ou envoyer un mail pour prévenir ?

cordialement ,
Christophe.

Bonjour,

Mon conseil: Préviens les immédiatement en donnant le plus de détails possibles tout en restant simples dans tes explications afin qu'un non-informaticien qui lise ton mail voit que c'est suffisamment sérieux pour qu'il en parle à quelqu'un dont c'est le métier.

Et surtout, ne donne pas plus de détails à quiconque sur cette faille, si tu rends publique le soucis avant qu'il soit corrigé, tu t'exposes à des poursuites.

Trés bien , je vais suivre ton conseil ...

Et les prévenir de suite ...

Non, tu dois l'exploiter et pirater le site…

C'est évident que tu dois les prévenir…

Ce n'est pas si évident que ça ...

J'ai pu lire il y a peu , ( Livre Sécurite PHP5 & Mysql ) un exemple d'un personne qui trouve une faille sur un site de Banque , qui apres les avoir prévenu peu se retrouver avec une plainte pour tentative de piratage ...

D'ou ma question ..
Celà m'embêterai vraiment de me retrouver avec une plainte alors que j'ai tenté d'aider ...

Ces mon ignorance au niveau des lois qui me met dans le doute ...

Enfin , de toute façon maintenant , c'est fait , ils sont prévenu ...

Hey ,

Les histoires où le type est allé en prison sont particulières. Souvent, ils ont exploité de grosse faille pour un exploit ou pour se faire embaucher (s'est arrivé y a pas longtemps). Ce sont des cas très particulier, et je pense qu'une boîte qui oublie une faille XSS n'a pas les moyens juridiques et financiers de te t'envoyer en prison . Surtout pour une faille XSS ! Ce serait ridicule …
Conclusion : pour une telle faille, tu ne risques pas grand chose à part faire plaisir aux webmasters du site .

je pense qu'une boîte qui oublie une faille XSS n'a pas les moyens juridiques et financiers de te t'envoyer en prison .

Personnellement, j'ai déjà trouvé des failles très cons sur des sites de sociétés ayant un capital de plusieurs milliards d'euros...
La sécurité d'un site web et les moyens juridiques et financiers n'ont rien à voir, selon moi.

Et pour une faille dans un système bancaire, personnellement, je ne préviens pas la banque mais soit je ne dis rien si la faille est minime (ça m'ait déjà arrivé) soit je préviens l'UFC-Que Choisir pour conserver mon anonymat et éviter les ennuis.


Maintenant, vu que dans le cas précis, il ne s'agit que du site d'une ville, le risque est minime et il vaut donc mieux prévenir les responsables du site.
En tout cas pour ma part, je suis beaucoup moins catégorique que vous et je suis d'accord avec stopher sur le fait que la question se pose réellement.