Signalement des vulnérabilités
Signalement de vulnérabilités suspectées
- Amazon Web Services (AWS) : pour signaler une vulnérabilité ou un problème de sécurité concernant les services cloud AWS ou les projets open source, consultez notre programme de divulgation des vulnérabilités sur HackerOne. Pour les soumissions en dehors du champ d’application/de la plateforme H1, ou pour toute question, contactez [email protected] (clé PGP).
- Amazon : informez Retail Security d’une vulnérabilité ou d’un problème de sécurité concernant les services ou produits Amazon Retail.
- Réalisation de tests de pénétration : les clients AWS ont la possibilité de réaliser des évaluations de la sécurité ou des tests de pénétration de leur infrastructure AWS, sans approbation préalable pour les services indiqués. Pour obtenir des conseils supplémentaires, consultez la Politique relative aux tests de pénétration.
- Abus AWS : si vous soupçonnez que des ressources AWS (par exemple, une instance EC2 ou un compartiment S3) sont utilisées pour une activité suspecte, veuillez remplir le formulaire de signalement d’abus AWS ou contacter [email protected].
Afin que nous puissions répondre efficacement à votre signalement, merci de fournir les éventuels compléments d’information (code de démonstration de faisabilité, sortie de l’outil, etc.) qui pourraient nous aider à comprendre la nature et la gravité de la vulnérabilité.
Champ d’application Amazon CNA
Amazon CNA publiera des CVE qui aideront les clients à corriger les failles de sécurité valides appartenant aux classes suivantes :
- Services AWS fournis par AWS et accessibles publiquement aux clients. (par exemple Amazon EC2, Amazon RDS).
- Services Amazon fournis par Amazon et accessibles publiquement aux clients. (par exemple, Amazon.com Seller API Service).
- Logiciel open source au sein d’une organisation GitHub gérée par Amazon ou AWS.
- Logiciel client publié par Amazon ou AWS et disponible en téléchargement depuis un site Web ou un emplacement de téléchargement que nous détenons et exploitons (par exemple, le kit SDK Amazon Appstore, le kit SDK Amazon Input, l’application Amazon Kindle, l’application Amazon MShop, le client Amazon WorkSpaces).
- Appareils fabriqués par Amazon ou AWS et mis à la disposition des clients pour achat et utilisation (par exemple, Amazon Fire TV, appareils Amazon Echo, Amazon Kindle, AWS Outpost).
En outre, toutes les exigences ci-dessous doivent être respectées :
- Incidence sur les clients : le problème doit exister au sein d’une catégorie appartenant à Amazon ou à AWS qui est publiquement disponible pour les clients ; ET
- Agence cliente : la résolution des problèmes liés aux produits pris en charge ou EOL/EOS nécessite l’intervention du client, y compris la prise d’une décision fondée sur les risques concernant la gestion de la correction (OU les clients doivent évaluer l’impact possible) OU lorsqu’une vulnérabilité valide en matière de sécurité sera rendue publique (OU est susceptible de devenir publique) ; ET
- Score CVSS : 4,0 (MOYEN) ou supérieur.
Les problèmes liés aux services, aux logiciels ou au matériel qui ne sont pas considérés comme des vulnérabilités comprennent, sans toutefois s’y limiter, les éléments suivants :
- Une configuration non par défaut ou des modifications effectuées à l’aide d’informations d’identification valides qui ont été correctement autorisées
- Le ciblage de ressources de clients Amazon ou AWS (ou sites non AWS hébergés sur l’infrastructure AWS)
- Toute vulnérabilité obtenue par la compromission des comptes des clients ou des employés Amazon ou AWS
- Toute attaque par déni de service (DoS) contre les produits Amazon ou AWS (ou les clients Amazon ou AWS)
- Les attaques physiques contre les employés, les bureaux et les centres de données Amazon ou AWS
- L’ingénierie sociale des employés, des entrepreneurs, des fournisseurs ou des prestataires de services Amazon ou AWS
- Le fait de poster, de transmettre, de charger, de créer un lien ou d’envoyer des logiciels malveillants en connaissance de cause
- Le fait d’entretenir les vulnérabilités qui envoient des messages de masse non sollicités (spam)
Signalement des vulnérabilités d’AWS
AWS s’engage à vous répondre rapidement et à vous tenir au courant du traitement de votre demande. Vous recevrez une réponse non automatique confirmant la réception de votre rapport initial dans les 24 heures, des mises à jour en temps voulu et des contrôles mensuels tout au long de l'engagement. À tout moment, vous pouvez demander des mises à jour et restons ouverts à tout dialogue pour clarifier toute préoccupation ou tout problème lié à la coordination des divulgations.
Les activités considérées comme n’étant pas une vulnérabilité ci-dessus sont également hors du champ d’application du programme de divulgation des vulnérabilités d’AWS. La réalisation de l’une des activités mentionnées ci-dessus entraînera la disqualification permanente du programme.
Notification publique
Le cas échéant, AWS coordonnera avec vous la notification publique de toute vulnérabilité validée. Dans la mesure du possible, nous préférons que nos communications publiques respectives soient publiées simultanément.
Afin de protéger ses clients, AWS vous demande de ne pas publier ou partager d’informations concernant une vulnérabilité potentielle de manière publique tant que nous n’avons pas corrigé la vulnérabilité signalée et que nous n’en avons pas informé nos clients, si nécessaire. De plus, nous vous prions en toute déférence de ne pas publier ou partager des données appartenant à nos clients. Veuillez noter que le temps nécessaire pour atténuer une vulnérabilité dépend de la gravité de la vulnérabilité et des systèmes affectés.
AWS effectue des notifications publiques sous la forme de bulletins de sécurité, qui sont publiés sur le site Web de sécurité AWS. Les particuliers, les entreprises et les équipes dédiées à la sécurité publient généralement leurs alertes sur leurs propres sites Web et autres forums. En fonction de la pertinence de ces alertes, nous pouvons inclure des liens vers ces ressources de tiers dans les bulletins de sécurité AWS.
Sphère de sécurité
Nous pensons que la recherche en matière de sécurité effectuée de bonne foi devrait bénéficier d’une sphère de sécurité. À des fins de protection pour la recherche sur la sécurité et le signalement des vulnérabilités, nous avons adopté Gold Standard Safe Harbor. Nous sommes impatients de travailler avec des chercheurs en sécurité qui partagent notre passion pour la protection de nos clients.
Gold Standard Safe Harbor soutient la protection des organisations et des pirates informatiques engagés dans des recherches de bonne foi en matière de sécurité. La « recherche de sécurité de bonne foi » consiste à accéder à un ordinateur uniquement à des fins de test, d’investigation et/ou de correction d’une faille de sécurité ou d’une vulnérabilité de bonne foi, lorsque cette activité est menée de manière à éviter tout préjudice aux individus ou au public, et lorsque les informations dérivées de cette activité sont utilisées principalement pour promouvoir la sécurité de la classe d’appareils, de machines ou de services en ligne à laquelle appartient l’ordinateur consulté, ou de ceux qui utilisent de tels appareils, machines ou services en ligne.
Nous considérons que la recherche de bonne foi en matière de sécurité est une activité autorisée qui est protégée contre toute action judiciaire contradictoire de notre part. Nous renonçons à toute restriction pertinente de nos Conditions d’utilisation (« CU ») et/ou de nos Politiques d’utilisation acceptable (« PUA ») qui serait contraire à la norme de recherche de bonne foi en matière de sécurité décrite ici.
Cela signifie que, pour les activités menées pendant que ce programme est actif :
- nous n’engagerons aucune action en justice contre vous et nous ne vous dénoncerons pas pour avoir mené des recherches de bonne foi en matière de sécurité, y compris pour avoir contourné les mesures technologiques que nous utilisons pour protéger les applications concernées ; et
- nous prendrons des mesures pour faire savoir que vous avez mené des recherches de bonne foi en matière de sécurité si quelqu’un d’autre intente une action en justice contre vous.
Vous devez nous contacter pour obtenir des éclaircissements avant d’adopter un comportement qui, selon vous, pourrait être incompatible avec les recherches de bonne foi en matière de sécurité ou ne pas être abordé par notre politique.
N’oubliez pas que nous ne sommes pas en mesure d’autoriser des recherches de sécurité sur des infrastructures tierces et que les tiers ne sont pas liés par cette déclaration de sphère de sécurité.
Politique de divulgation
Une fois le rapport soumis, nous nous efforcerons de valider la vulnérabilité signalée. Si des informations supplémentaires sont nécessaires pour valider ou reproduire le problème, nous travaillerons avec vous pour les obtenir. Une fois l’investigation initiale effectuée, les résultats vous seront transmis, ainsi qu’un plan de résolution et de discussion sur la communication publique.
Quelques points à noter concernant le processus :
- Produits de tiers : s’il s’avère que la vulnérabilité affecte un produit tiers, nous en informerons le propriétaire de la technologie concernée. Nous continuerons à assurer la coordination entre vous et le tiers. Votre identité ne sera en aucun cas divulguée à la tierce partie, sans votre autorisation préalable.
- Confirmation de l’absence de vulnérabilité : si le problème ne peut pas être validé ou s’il n’est pas considéré comme relevant du champ d’application, vous en serez informé.
- Classification des vulnérabilités : nous utilisons la version 3.1 du système CVSS (Common Vulnerability Scoring System) pour évaluer les vulnérabilités potentielles. La note obtenue aide à quantifier la gravité du problème et nous permet de hiérarchiser nos réponses. Pour plus d’informations sur le CVSS, référez-vous au site NVD.
En participant à notre programme de divulgation de vulnérabilités de bonne foi, nous vous demandons de :
- Jouer selon les règles, y compris suivre cette politique et tout autre accord pertinent. En cas d'incohérence entre cette politique et d'autres conditions applicables, les termes de cette politique prévaudront;
- Signaler promptement toute vulnérabilité que vous avez découverte ;
- Éviter de violer la vie privée d'autrui, de perturber nos systèmes, de détruire des données et/ou de nuire à l'expérience utilisateur´;
- Utiliser uniquement les canaux précédemment mentionnés pour discuter des informations sur les vulnérabilités avec nous ;
- Nous accorder un délai raisonnable à partir du signalement initial pour résoudre le problème avant de le divulguer publiquement ;
- Effectuer des tests uniquement sur des systèmes inclus dans le champ d'application, et respecter les systèmes et activités qui ne sont pas inclus dans le champ d'application ;
- Si une vulnérabilité permet un accès non intentionnel à des données : limiter la quantité de données que vous accédez au minimum requis pour démontrer efficacement une preuve de concept; et cesser les tests et soumettre immédiatement un rapport si vous rencontrez des données utilisateur lors des tests, telles que des données d'identification personnelle (PII), des informations personnelles sur la santé (PHI), des données de carte de crédit ou des informations exclusives ;
- Interagir uniquement avec des comptes de test que vous possédez ou avec l’autorisation explicite du titulaire du compte ; et
- Ne pas vous livrer à des actes d’extorsion.