Aller à la page principale

Cette page a été traduite automatiquement et pourrait contenir des erreurs

Politique de signalement et de divulgation des vulnérabilités

L’équipe de sécurité du DHIS2 participe à la divulgation responsable et se félicite de la collaboration avec la communauté au sens large sur les questions de sécurité. Sur cette page, nous décrivons comment contacter l’équipe de sécurité du DHIS2, ce à quoi vous pouvez vous attendre lorsque vous nous contactez et ce que nous attendons de vous

Aller à une section sur cette page

    Questions relatives aux rapports

    Vous pouvez signaler des problèmes en envoyant un courriel à l’équipe de sécurité de DHIS2 security@dhis2.org. Nous nous efforçons de répondre dans un délai de 10 jours ouvrables.

    Nous vous demandons de

    • N’incluez qu’un bref résumé du problème et fournissez-nous vos coordonnées afin que nous puissions en discuter de manière plus approfondie par le biais d’un canal sécurisé.

    Les rapports sur les vulnérabilités doivent contenir des instructions écrites claires permettant de reproduire la vulnérabilité. Chaque rapport doit contenir les éléments suivants :

    • Version DHIS2
    • Numéro de construction du DHIS2
    • Description du problème
    • Pourquoi considérez-vous qu’il s’agit d’une faille de sécurité ?
    • Étapes de la reproduction
    • Souhaitez-vous être accrédité (OUI/NON)

    Veuillez NE PAS signaler le problème sur les listes de diffusion publiques et NE PAS signaler le problème via le système Jira, car ces méthodes sont accessibles aux membres extérieurs à l’équipe de sécurité.

    L’examen et la résolution du problème signalé peuvent prendre du temps, tout comme le déploiement des versions mises à jour par nos utilisateurs. Nous vous demandons donc de vous abstenir de communiquer publiquement des vulnérabilités jusqu’à ce que nous estimions qu’il est possible de le faire en toute sécurité.

    Nous n’offrons pas actuellement de récompenses monétaires pour les rapports de bogues, mais nous sommes heureux de créditer les rapporteurs dans notre  » hall of fame » et nos journaux de modifications.

    Champ d'application

    Les objectifs suivants sont concernés :

    Hors champ d'application

    • Toute instance publique ou privée hébergée du serveur DHIS2 qui ne figure pas dans la liste ci-dessus.
    • Versions non prises en charge de DHIS2
      • Nous ne supportons et ne fournissons des correctifs de sécurité que pour les 3 dernières versions de DHIS2.
    • l’ingénierie sociale, le phishing ou les attaques physiques contre nos employés, nos utilisateurs ou notre infrastructure
    • Applications tierces construites sur la plateforme DHIS2
      • Par « tiers », nous entendons les applications qui n’ont pas été publiées ou développées par l’Université d’Oslo.
    • Vulnérabilités dans les dépendances en amont
    • Absence de limitation des taux
      • Les rapports concernant les attaques volumétriques par déni de service sont hors sujet.
    • Vulnérabilités dues à des versions obsolètes de navigateurs
      • Les vulnérabilités affectant les versions obsolètes des navigateurs modernes sont hors de portée, tout comme celles causées par les extensions de navigateurs.
    • Attaques MITM
      • Nous ne pouvons pas empêcher nos utilisateurs d’utiliser des réseaux vulnérables, et les attaques de type « man-in-the-middle » sont donc hors de portée.
    • Absence de bonnes pratiques dans la configuration SSL/TLS sans preuve de concept/démonstration d’une vulnérabilité.
    • Problèmes d’usurpation de contenu et d’injection de texte sans montrer de vecteur d’attaque/sans pouvoir modifier HTML/CSS
    • Absence des indicateurs HttpOnly ou Secure sur les cookies non liés à l’authentification ou aux sessions
    • Mauvaise configuration des bases de données ou des serveurs mandataires (reverse proxies)
    • Politique en matière de courrier électronique DMARC, SPF et DKIM
      • Nous pensons que nos paramètres DMARC, SPF et DKIM permettent d’équilibrer de manière appropriée la sécurité et les problèmes de délivrabilité du courrier électronique.

    Politique de divulgation

    L’équipe de sécurité s’engage à divulguer publiquement les problèmes de sécurité de manière responsable. Cela signifie qu’un problème peut faire l’objet d’un embargo pendant un certain temps, le temps qu’un correctif ou une solution de contournement soit mis au point.

    Le DHIS2 demande aux chercheurs en sécurité participants de

    • Donner au DHIS2 un délai raisonnable pour résoudre le problème signalé avant de le divulguer à des tiers.
    • Ne pas divulguer publiquement les vulnérabilités ou les détails qui s’y rapportent sans l’autorisation écrite explicite du DHIS2.
    • Ne pas inclure de données sensibles ou d’identification dans les divulgations publiques