Rapporter des bogues de sécurité

This page is a translated version of the page Reporting security bugs and the translation is 98% complete.

Ceci est la procédure pour rapporter les problèmes de sécurité dans le logiciel et les services maintenus ou gérés par la Fondation Wikimedia. Cela comprend MediaWiki et les projets Wikimedia tels que Wikipedia.

Nous soutenons la divulgation responsable et nous espérons que quiconque découvre un problème de sécurité potentiel dans notre écosystème agira avec discrétion et indulgence.

Qu'est-ce qu'un problème de sécurité

Il s'agit d'un aperçu général et non d'une liste exhaustive de la portée de ce processus.

  • Problèmes qui touchent à la disponibilité d'un ou plusieurs services de l'écosystème Wikimedia, mais en particulier lorsqu'ils sont le fruit d'une campagne ou d'un ensemble d'actions hostiles.
  • Lorsque l'intégrité des données hébergées par la Fondation Wikimedia ou les entités affiliées présente un risque de corruption, d'altération, ou de modification de quelqu'autre manière non autorisée.
  • Lorsque le caractère confidentiel des données détenues par la Fondation Wikimedia ou ses entités affiliées est compromis, de sorte que des informations censées être restreintes ou privées sont divulguées, révélées, volées ou exfiltrées de manière non autorisée.

Rapporter un problème de sécurité

Pour rapporter un problème, envoyez un courriel à security@wikimedia.org ou utilisez le formulaire pour Rapporter un problème de sécurité sur Phabricator.

De tels rapports ne sont pas visibles publiquement au moment où ils sont envoyés. Voir ci-dessous la procédure appliquée une fois les problèmes corrigés.

Ce qu'il faut mettre dans le rapport des problèmes de sécurité

  • Instructions pas à pas pour reproduire le problème
  • Si disponible, code du proof-of-concept montrant que la faille est une des meilleures pratiques
  • Si la faille peut être reproduite sur un projet Wikimedia (tel que Wikipedia ou Wiktionary), veuillez indiquer alors ce qui est particulier à la configuration de votre site
  • Si c'est le cas, indiquez si vous êtes connecté ou pas lorsque le problème est arrivé
  • Concernant le XSS ou les failles qui nécessitent un navigateur spécifique ou un greffon, veuillez indiquer le navigateur utilisé ainsi que sa version. Les versions spécifiques des logiciels que vous utilisez seront également utiles.
  • catégorie de vulnérabilité OWASP (en utilisant le Top 10 OWASP pour 2017), ou l'ID CWE (en utilisant CWE par les concepts de recherche)
  • Common Vulnerabilities and Exposures (CVE) s'il est assigné (en utilisant la base de données NIST CVE)
  • Toute autre information nécessaire pour investiguer et reproduire le problème

Si vous rapportez la faille par courriel à security@wikimedia.org, indiquez-nous si vous possédez un compte Wikimedia Phabricator afin vous relier au ticket que nous allons créer et que vous puissiez suivre son évolution.

Les comptes Phabricator peuvent être créés en utilisant un compte Wilki SUL existant.

Ce qui se passe lorsque des problèmes de sécurité sont signalés

Ce que nous ferons :

  • Déterminer s'il s'agit réellement d'un problème de sécurité
  • Essai pour reproduire le problème, et assignation d'une priorité au bogue en fonction de ses conséquences.
  • Un patch sera ajouté dans Phabricator et une autre personne le relira.
    • Le patch doit contenir des tests de non-régression à chaque fois que cela est possible.
  • Le patch sera déployé sur le cluster Wikimedia, et son accès sera fourni à quelques partenaires et distributeurs de confiance.[citation needed]
  • S'il est nécessaire, le patch sera inclus dans la prochaine version de MediaWiki. Si l'impact de la faille est particulièrement mauvais, ou si si nous avons l'information comme quoi elle est exploitée activement, nous fourniront une version spéciale de sécurité de MediaWiki pour s'assurer que les parties tierces sont protégées.
  • A moins que vous n'indiquiez explicitement que certaines informations ne doivent pas être publiées, nous créerons un ticket public sur Phabricator lorsque la correction sera diffusée, et vous créditerons dans l'annonce de la version. Si vous rapportez le problème par courriel sur security@wikimedia.org, ce courriel lui-même peut être diffusé publiquement. Il peut contenir votre adresse courriel et votre signature sauf si vous ne les demandez pas. L'étiquette Phabricator PermanentlyPrivate assure que les rapports restent confidentiels à perpétuité.
  • Determine if a CVE record needs to be published if it was not included in the original report

Créditer les rapporteurs

  • Le crédit sera attribué au rapporteur dans le message de validation (commit) de la correction du problème
  • Le crédit sera attribué au rapporteur dans le courriel d'annonce officiel envoyé sur les listes de diffusion MediaWiki-announce
  • Le crédit sera attribué à Wikimedia Security Team/Thanks pour les failles concernant le noyau MediaWiki ou une bibliothèque embarquée, un habillage, ou une extension.
  • Actuellement, il n'y a pas de budget pour les rapports de sécurité. Cela signifie qu'aucune prime n'est payée par Wikimedia Foundation pour la découverte de bogues de sécurité sur ces projets, que ce soit en argent ou en marchandise.

Suivre les corrections du problème

Si possible pendant le processus de correction, les bogues de sécurité doivent être accompagnés de commentaires incluant :

  • Instructions pas à pas pour reproduire les problèmes suivants
  • Liens vers les commits qui ont introduit le bogue
  • Liens vers les ensembles de modifications Gerrit qui corrigent le bogue

L'accèes des rapporteurs à leurs propres rapports est standard mais pour avoir accès aux problèmes de sécurité protégés, il existe généralement un processus séparé

Corrections concernées

Si vous souhaitez fournir un patch concernant un bogue de sécurité, veuillez le joindre en tant que pièce attachée à la tâche Phabricator associée. Vous pouvez déplacer / relâcher le patch dans la zone de commentaire, ou inclure un diff du patch en tant que commentaire.

Veillez à ne pas soumettre de patch sur Gerrit. Toutes les modifications Gerrit (y compris les brouillons) sont accessibles publiquement.

Contenu de sécurité relatif

Projet Utilisé par l'équipe de sécurité Wikimedia
mediawiki.org Contenu général du règlement, SOPs, etc. page de l'équipe Official Security .
wikitech.wikimedia.org Matériel procédural ou instructionnel qui n'est pas de la formation.
meta.wikimedia.org Règles et autre contenu à traduire.
office.wikimedia.org Contenu sensible ou privé. Il doit avoir un NDA et un accès approprié.
foundation.wikimedia.org Emplacement canonique des règles.