Reporting security bugs/fr

Ceci est la procédure pour rapporter les problèmes de sécurité dans le logiciel et les services maintenus ou gérés par la Fondation Wikimedia. Cela comprend MediaWiki et les projets Wikimedia tels que Wikipedia.

We support responsible disclosure and we hope that anyone who finds a potential security issue in our ecosystem acts with discretion and forbearance.

Qu'est-ce qu'un problème de scurité
This is a general outline and not an exhaustive listing of the scope of this process.
 * Issues that affect the availability of one of more services that are part of the Wikimedia ecosystem, but in particular when this is the result of a hostile set of actions or campaign.


 * When the integrity of data hosted by the Wikimedia Foundation or affiliated entities is at risk of being corrupted, tampered with, or otherwise modified in an unauthorized manner.


 * When the confidentiality of data owned by the Wikimedia Foundation or its affiliated entities is compromised, such that information meant to be restricted or private is leaked, revealed, stolen, or exfiltrated in an unauthorized manner.

Rapporter un problème de sécurité
Pour rapporter un problème, envoyez un courriel à [mailto:security@wikimedia.org security&#64;wikimedia.org] ou utilisez le formulaire pour Rapporter un problème de sécurité sur Phabricator.

De tels rapports ne sont pas visibles publiquement au moment où ils sont envoyés. Voir ci-dessous la procédure appliquée une fois les problèmes corrigés.

Ce qu'il faut mettre dans le rapport des problèmes de sécurité
If you report the vulnerability by email to [mailto:security@wikimedia.org security&#64;wikimedia.org], let us know if you have a Wikimedia Phabricator account as we will add you to the bug we create, so you can track the status.
 * Instructions pas à pas pour reproduire le problème
 * If possible, proof-of-concept code demonstrating the issue is a best practice
 * If the vulnerability can be reproduced on a Wikimedia project (such as Wikipedia or Wiktionary) please indicate which as site configurations vary
 * Si c'est le cas, indiquez si vous êtes connecté ou pas lorsque le problème est arrivé
 * For XSS or vulnerabilities that require a specific browser or plugin, please indicate which browser and version you are using. The specific version of any software used will be helpful.
 * OWASP vulnerability category (using OWASP Top 10 for 2017), or CWE id (using CWE By Research Concepts)
 * CVE if assigned (using the NIST CVE database)
 * Toute autre information nécessaire pour investiguer et reproduire le problème

Phabricator accounts can be created using an existing SUL Wiki account.

Ce qui se passe lorsque des problèmes de sécurité sont signalés
Ce que nous ferons :
 * Déterminer s'il s'agit réellement d'un problème de sécurité
 * Essai pour reproduire le problème, et assignation d'une priorité au bogue en fonction de ses conséquences.
 * Un patch sera ajouté dans Phabricator et une autre personne le relira.
 * Le patch doit contenir des tests de non-régression à chaque fois que cela est possible.
 * The patch will be deployed on the Wikimedia cluster, and access to the patch will be given to a few trusted partners and distributors.
 * S'il est nécessaire, le patch sera inclus dans la prochaine version de MediaWiki. If the impact of the vulnerability is especially bad, or we have indication that it is being actively exploited, we will make a special security release of MediaWiki to ensure third parties are protected.
 * Unless you explicitly indicate that certain information must not be published, we will make the Phabricator ticket public when the fix is released, and credit you in the release announcement. Si vous rapportez le problème par courriel sur security@undefinedwikimedia.org, ce courriel lui-même peut être diffusé publiquement. Il peut contenir votre adresse courriel et votre signature sauf si vous ne les demandez pas. The Phabricator tag PermanentlyPrivate will ensure reports are kept confidential in perpetuity.

Créditer les rapporteurs

 * Le crédit sera attribué au rapporteur dans le message de validation (commit) de la correction du problème
 * Credit will be given to the reporter in the official announcement email going to the MediaWiki-announce mailing lists
 * Credit will be given on Wikimedia Security Team/Thanks for vulnerabilities in MediaWiki core or a bundled library, skin, or extension.
 * Currently, there is no budget for security reports. This means no bounties are paid by Wikimedia Foundation for discovering security bugs on these projects, either in money or in merchandise.

Suivre les corrections du problème
When possible during the remediation process, the security bugs should have comments that include: Reporter access to their own authored reports is standard, but to gain access to security protected issues generally there is a separate process
 * Instructions pas à pas pour reproduire les problèmes suivants
 * Liens vers les commits qui ont introduit le bogue
 * Liens vers les ensembles de modifications Gerrit qui corrigent le bogue

Corrections concernées
If you would like to provide a patch for a security bug, please add it as an attachment to the Phabricator task. You can either drag-and-drop the patch into the comment area, or include a diff of the patch as a comment.

Veillez à ne pas soumettre de patch sur Gerrit. Toutes les modifications Gerrit (y compris les brouillons) sont accessibles publiquement.
 * See Creating a Security Patch section on wikitech for steps to create these patches, and Security patches section for how these patches are deployed.