Reporting security bugs/fr

Ceci est la procédure pour rapporter les problèmes de sécurité dans le logiciel et les services maintenus ou gérés par la Fondation Wikimedia. Cela comprend MediaWiki et les projets Wikimedia tels que Wikipedia.

Nous soutenons la divulgation responsable et nous espérons que quiconque découvre un problème de sécurité potentiel dans notre écosystème agira avec discrétion et indulgence.

Qu'est-ce qu'un problème de sécurité
Il s'agit d'un aperçu général et non d'une liste exhaustive de la portée de ce processus.
 * Problèmes qui touchent à la disponibilité d'un ou plusieurs services de l'écosystème Wikimedia, mais en particulier lorsqu'ils sont le fruit d'une campagne ou d'un ensemble d'actions hostiles.


 * Lorsque l'intégrité des données hébergées par la Fondation Wikimedia ou les entités affiliées présente un risque de corruption, d'altération, ou de modification de quelqu'autre manière non autorisée.


 * Lorsque le caractère confidentiel des données détenues par la Fondation Wikimedia ou ses entités affiliées est compromis, de sorte que des informations censées être restreintes ou privées sont divulguées, révélées, volées ou exfiltrées de manière non autorisée.

Rapporter un problème de sécurité
Pour rapporter un problème, envoyez un courriel à [mailto:security@wikimedia.org security&#64;wikimedia.org] ou utilisez le formulaire pour Rapporter un problème de sécurité sur Phabricator.

De tels rapports ne sont pas visibles publiquement au moment où ils sont envoyés. Voir ci-dessous la procédure appliquée une fois les problèmes corrigés.

Ce qu'il faut mettre dans le rapport des problèmes de sécurité
Si vous rapportez la faille par courriel à [mailto:security@wikimedia.org security&#64;wikimedia.org], indiquez-nous si vous possédez un compte Wikimedia Phabricator afin vous relier au ticket que nous allons créer et que vous puissiez suivre son évolution.
 * Instructions pas à pas pour reproduire le problème
 * Si disponible, code du proof-of-concept montrant que la faille est une des meilleures pratiques
 * Si la faille peut être reproduite sur un projet Wikimedia (tel que Wikipedia ou Wiktionary), veuillez indiquer alors ce qui est particulier à la configuration de votre site
 * Si c'est le cas, indiquez si vous êtes connecté ou pas lorsque le problème est arrivé
 * Concernant XSS ou les failles qui nécessitent un navigateur spécifique ou un greffon, veuillez indiquer le navigateur utilisé ainsi que sa version. Les versions spécifiques des logiciels que vous utilisez seront également utiles.
 * OWASP vulnerability category (using OWASP Top 10 for 2017), or CWE id (using CWE By Research Concepts)
 * CVE if assigned (using the NIST CVE database)
 * Toute autre information nécessaire pour investiguer et reproduire le problème

Les comptes Phabricator peuvent être créés en utilisant le compte Wilki SUL existant.

Ce qui se passe lorsque des problèmes de sécurité sont signalés
Ce que nous ferons :
 * Déterminer s'il s'agit réellement d'un problème de sécurité
 * Essai pour reproduire le problème, et assignation d'une priorité au bogue en fonction de ses conséquences.
 * Un patch sera ajouté dans Phabricator et une autre personne le relira.
 * Le patch doit contenir des tests de non-régression à chaque fois que cela est possible.
 * Le patch sera déployé sur le cluster Wikimedia, et son accès sera fourni à quelques partenaires et distributeurs de confiance.
 * S'il est nécessaire, le patch sera inclus dans la prochaine version de MediaWiki. Si l'impact de la faille est particulièrement mauvais, ou si si nous avons l'information comme quoi elle est exploitée activement, nous fourniront une version spéciale de sécurité de MediaWiki pour s'assurer que les parties tierces sont protégées.
 * A moins que vous n'indiquiez explicitement que certaines informations ne doivent pas être publiées, nous créerons un ticket public sur Phabricator lorsque la correction sera diffusée, et vous créditerons dans l'annonce de la version. Si vous rapportez le problème par courriel sur security@undefinedwikimedia.org, ce courriel lui-même peut être diffusé publiquement. Il peut contenir votre adresse courriel et votre signature sauf si vous ne les demandez pas. L'étiquette Phabricator PermanentlyPrivate assure que les rapports restent confidentiels à perpétuité.

Créditer les rapporteurs

 * Le crédit sera attribué au rapporteur dans le message de validation (commit) de la correction du problème
 * Le crédit sera attribué au rapporteur dans le courriel d'annonce officiel envoyé sur les listes de diffusion MediaWiki-announce
 * Le crédit sera attribué à Wikimedia Security Team/Thanks pour les failles concernant le noyau MediaWiki ou une bibliothèque embarquée, un habillage, ou une extension.
 * Currently, there is no budget for security reports. This means no bounties are paid by Wikimedia Foundation for discovering security bugs on these projects, either in money or in merchandise.

Suivre les corrections du problème
When possible during the remediation process, the security bugs should have comments that include: Reporter access to their own authored reports is standard, but to gain access to security protected issues generally there is a separate process
 * Instructions pas à pas pour reproduire les problèmes suivants
 * Liens vers les commits qui ont introduit le bogue
 * Liens vers les ensembles de modifications Gerrit qui corrigent le bogue

Corrections concernées
If you would like to provide a patch for a security bug, please add it as an attachment to the Phabricator task. You can either drag-and-drop the patch into the comment area, or include a diff of the patch as a comment.

Veillez à ne pas soumettre de patch sur Gerrit. Toutes les modifications Gerrit (y compris les brouillons) sont accessibles publiquement.
 * Voir la section Créer un patch de sécurité sur Wikitech qui donne les étapes pour créer ce type de patch, et la section Patches de sécurité pour la manière dont ces patches sont déployés.