Reporting security bugs/fr

Ceci est la procédure pour rapporter les problèmes de sécurité dans le logiciel et les services maintenus ou gérés par la Fondation Wikimedia. Cela comprend MediaWiki et les projets Wikimedia tels que Wikipedia.

Nous soutenons la divulgation responsable et nous espérons que quiconque découvre un problème de sécurité potentiel dans notre écosystème agira avec discrétion et indulgence.

Qu'est-ce qu'un problème de sécurité
Il s'agit d'un aperçu général et non d'une liste exhaustive de la portée de ce processus.
 * Problèmes qui touchent à la disponibilité d'un ou plusieurs services de l'écosystème Wikimedia, mais en particulier lorsqu'ils sont le fruit d'une campagne ou d'un ensemble d'actions hostiles.


 * Lorsque l'intégrité des données hébergées par la Fondation Wikimedia ou les entités affiliées présente un risque de corruption, d'altération, ou de modification de quelqu'autre manière non autorisée.


 * Lorsque le caractère confidentiel des données détenues par la Fondation Wikimedia ou ses entités affiliées est compromis, de sorte que des informations censées être restreintes ou privées sont divulguées, révélées, volées ou exfiltrées de manière non autorisée.

Rapporter un problème de sécurité
Pour rapporter un problème, envoyez un courriel à [mailto:security@wikimedia.org security&#64;wikimedia.org] ou utilisez le formulaire pour Rapporter un problème de sécurité sur Phabricator.

De tels rapports ne sont pas visibles publiquement au moment où ils sont envoyés. Voir ci-dessous la procédure appliquée une fois les problèmes corrigés.

Ce qu'il faut mettre dans le rapport des problèmes de sécurité
Si vous rapportez la faille par courriel à [mailto:security@wikimedia.org security&#64;wikimedia.org], indiquez-nous si vous possédez un compte Wikimedia Phabricator afin vous relier au ticket que nous allons créer et que vous puissiez suivre son évolution.
 * Instructions pas à pas pour reproduire le problème
 * Si disponible, code du proof-of-concept montrant que la faille est une des meilleures pratiques
 * Si la faille peut être reproduite sur un projet Wikimedia (tel que Wikipedia ou Wiktionary), veuillez indiquer alors ce qui est particulier à la configuration de votre site
 * Si c'est le cas, indiquez si vous êtes connecté ou pas lorsque le problème est arrivé
 * Concernant XSS ou les failles qui nécessitent un navigateur spécifique ou un greffon, veuillez indiquer le navigateur utilisé ainsi que sa version. Les versions spécifiques des logiciels que vous utilisez seront également utiles.
 * catégorie de vulnérabilité OWASP (en utilisant les Top 10 OWASP pour 2017), ou l'ID CWE (en utilisant CWE par les concepts de recherche)
 * CVE s'il est assigné (en utilisant la base de données NIST CVE)
 * Toute autre information nécessaire pour investiguer et reproduire le problème

Les comptes Phabricator peuvent être créés en utilisant le compte Wilki SUL existant.

Ce qui se passe lorsque des problèmes de sécurité sont signalés
Ce que nous ferons :
 * Déterminer s'il s'agit réellement d'un problème de sécurité
 * Essai pour reproduire le problème, et assignation d'une priorité au bogue en fonction de ses conséquences.
 * Un patch sera ajouté dans Phabricator et une autre personne le relira.
 * Le patch doit contenir des tests de non-régression à chaque fois que cela est possible.
 * Le patch sera déployé sur le cluster Wikimedia, et son accès sera fourni à quelques partenaires et distributeurs de confiance.
 * S'il est nécessaire, le patch sera inclus dans la prochaine version de MediaWiki. Si l'impact de la faille est particulièrement mauvais, ou si si nous avons l'information comme quoi elle est exploitée activement, nous fourniront une version spéciale de sécurité de MediaWiki pour s'assurer que les parties tierces sont protégées.
 * A moins que vous n'indiquiez explicitement que certaines informations ne doivent pas être publiées, nous créerons un ticket public sur Phabricator lorsque la correction sera diffusée, et vous créditerons dans l'annonce de la version. Si vous rapportez le problème par courriel sur security@undefinedwikimedia.org, ce courriel lui-même peut être diffusé publiquement. Il peut contenir votre adresse courriel et votre signature sauf si vous ne les demandez pas. L'étiquette Phabricator PermanentlyPrivate assure que les rapports restent confidentiels à perpétuité.

Créditer les rapporteurs

 * Le crédit sera attribué au rapporteur dans le message de validation (commit) de la correction du problème
 * Le crédit sera attribué au rapporteur dans le courriel d'annonce officiel envoyé sur les listes de diffusion MediaWiki-announce
 * Le crédit sera attribué à Wikimedia Security Team/Thanks pour les failles concernant le noyau MediaWiki ou une bibliothèque embarquée, un habillage, ou une extension.
 * Actuellement, il n'y a pas de budget pour les rapports de sécurité. Cela signifie qu'aucune prime n'est payée par Wikimedia Foundation pour la découverte de bogues de sécurité sur ces projets, que ce soit en argent ou en marchandise.

Suivre les corrections du problème
Si possible pendant le processus de correction, les bogues de sécurité doivent être accompagnés de commentaires incluant : L'accèes des rapporteurs à leurs propres rapports est standard mais pour avoir accès aux problèmes de sécurité protégés, il existe généralement un processus séparé
 * Instructions pas à pas pour reproduire les problèmes suivants
 * Liens vers les commits qui ont introduit le bogue
 * Liens vers les ensembles de modifications Gerrit qui corrigent le bogue

Corrections concernées
Si vous souhaitez fournir un patch concernant un bogue de sécurité, veuillez le joindre en tant que pièce attachée à la tâche Phabricator associée. Vous pouvez déplacer / relâcher le patch dans la zone de commentaire, ou inclure un diff du patch en tant que commentaire.

Veillez à ne pas soumettre de patch sur Gerrit. Toutes les modifications Gerrit (y compris les brouillons) sont accessibles publiquement.
 * Voir la section Créer un patch de sécurité sur Wikitech qui donne les étapes pour créer ce type de patch, et la section Patches de sécurité pour la manière dont ces patches sont déployés.