Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial EXPLORER KITEWORKS

Comment signaler une vulnérabilité dans ownCloud en toute sécurité

Comment signaler une vulnérabilité dans ownCloud en toute sécurité. Découvrez comment signaler une faille de sécurité à ownCloud via les canaux officiels comme le VDP ou le bounty program. Suivez les consignes et soumettez des rapports détaillés.

Accueil Glossaire Comment signaler une vulnérabilité dans ownCloud en toute sécurité

Politique de divulgation des vulnérabilités

ownCloud — une société Kiteworks

La sécurité d’ownCloud et de ses utilisateurs est une priorité essentielle.
Nous appliquons une politique formelle de divulgation des vulnérabilités ainsi qu’un système de récompenses afin d’identifier, signaler et corriger efficacement les problèmes de sécurité.

Comment signaler une vulnérabilité

Comment signaler une vulnérabilité

Signalez les vulnérabilités de sécurité via nos canaux officiels :

Ne signalez pas les vulnérabilités de sécurité via les issues publiques GitHub, les forums ou les réseaux sociaux. La divulgation publique de vulnérabilités non corrigées expose les utilisateurs à des risques et disqualifie les signalements du système de récompenses.

Que faut-il inclure dans votre signalement

Un signalement de vulnérabilité utile doit inclure au minimum :

  • Une description claire de la vulnérabilité et de son impact potentiel.
  • Le produit et la version concernés (oCIS, Desktop Client, Android, iOS ou ownCloud Server 10.x).
  • Les étapes pour reproduire le problème, idéalement avec une preuve de concept.
  • Votre évaluation de la gravité (score CVSS si possible).

Plus votre signalement est détaillé, plus nous pourrons traiter et résoudre rapidement le problème.

Que faut-il inclure dans votre signalement
Notre engagement envers vous

Notre engagement envers vous

Lorsque vous signalez une vulnérabilité via nos canaux officiels, nous nous engageons à :

  • Évaluation. Un membre de l’équipe sécurité ownCloud analysera la vulnérabilité, évaluera son impact et en déterminera la gravité.
  • Correction. Nous développerons et testerons un correctif, l’appliquerons aux branches concernées et l’intégrerons dans la prochaine version de sécurité. Pour les problèmes critiques, nous pourrons publier une version hors cycle.

Règles d’engagement

Nous demandons aux chercheurs en sécurité de respecter les consignes suivantes :

  • Testez les vulnérabilités uniquement sur votre propre installation d’ownCloud.
  • N’accédez pas, ne modifiez pas et ne supprimez pas les données d’autres utilisateurs.
  • Ne réalisez pas d’attaques par déni de service contre l’infrastructure ownCloud.
  • Ne publiez aucune information sur la vulnérabilité avant qu’ownCloud ait diffusé un correctif et un avis public.
  • Laissez à l’équipe sécurité un délai raisonnable pour répondre et corriger le problème.
  • En cas de doute sur le périmètre, contactez-nous d’abord à security@owncloud.com.
Règles d’engagement
Système de récompenses

Système de récompenses

Notre système de récompenses sur YesWeHack valorise les chercheurs en sécurité pour les vulnérabilités qualifiées selon leur gravité. L’équipe sécurité ownCloud détermine la gravité à sa discrétion. Les récompenses sont versées via la plateforme YesWeHack. Les vulnérabilités nécessitant des privilèges administrateur (CVSS PR:H) sont généralement plafonnées à la gravité élevée, sauf en cas de chaîne avec une élévation de privilèges.

Hors périmètre

Les éléments suivants sont généralement hors périmètre de notre système de récompenses :

  • Attaques réseau (DDoS, MitM sans impact sur la couche applicative).
  • Ingénierie sociale ou attaques de phishing ciblant le personnel ownCloud.
  • Problèmes dans des applications tierces non maintenues par ownCloud (signalez-les au responsable concerné).
  • En-têtes de sécurité manquants sans impact démontrable.
  • Mauvaise configuration SPF/DKIM/DMARC.
  • Politiques d’expiration de session.
  • Signalements issus de scanners automatisés sans preuve de concept validée.
Hors périmètre
Vulnérabilités de la supply chain et des dépendances

Vulnérabilités de la supply chain et des dépendances

Si vous découvrez une vulnérabilité dans une dépendance utilisée par ownCloud (bibliothèque, image de conteneur ou outil de build), signalez-la via nos canaux habituels. Nous coordonnerons la divulgation avec le mainteneur amont si nécessaire.

ownCloud surveille sa supply chain grâce à des analyses automatisées et applique un processus SBOM (Software Bill of Materials).

Contact

  • VDP / Système de récompenses : security.owncloud.com / YesWeHack
  • Email de l’équipe sécurité : security@owncloud.com
  • Contact OSPO : ospo@kiteworks.com
Contact

Foire aux questions

Vous pouvez signaler les vulnérabilités de sécurité via les canaux officiels d’ownCloud : la plateforme VDP sur security.owncloud.com, le Bug Bounty Program sur YesWeHack, ou par email à security@owncloud.com pour les problèmes hors du périmètre du bug bounty. Évitez toute divulgation publique sur des plateformes comme GitHub, les forums ou les réseaux sociaux afin de protéger les utilisateurs et de conserver votre éligibilité au bounty program.

Un rapport de vulnérabilité utile doit contenir une description claire de la vulnérabilité et de son impact potentiel, le produit et la version concernés (par exemple : oCIS, Desktop Client, Android, iOS ou ownCloud Server 10.x), les étapes pour reproduire le problème avec une preuve de concept si possible, ainsi que votre évaluation de la gravité, comme un score CVSS. Plus votre rapport est détaillé, plus la prise en charge et la résolution seront rapides.

ownCloud s’engage à analyser la vulnérabilité signalée : un membre de l’équipe sécurité évalue son impact et en détermine la gravité. L’équipe développe et teste ensuite un correctif, l’applique aux branches concernées et l’intègre à la prochaine version de sécurité, ou publie une mise à jour hors cycle pour les problèmes critiques.

Les chercheurs en sécurité doivent respecter ces consignes : tester les vulnérabilités uniquement sur votre propre installation ownCloud, ne pas accéder ni modifier les données d’autres utilisateurs, s’abstenir de toute attaque par déni de service sur l’infrastructure ownCloud, ne pas publier de détails sur la vulnérabilité avant la diffusion d’un correctif et d’un avis, laisser un délai raisonnable pour la réponse et la résolution, et contacter security@owncloud.com en cas de doute sur le périmètre.

Lancez-vous.

Il est facile de commencer à garantir la conformité réglementaire et à gérer efficacement les risques avec Kiteworks. Rejoignez les milliers d’organisations qui ont confiance dans la manière dont elles échangent des données privées entre personnes, machines et systèmes. Commencez dès aujourd’hui.

VOIR LA DÉMO

Table of Contents

Table of Content
Partagez
Tweetez
Partagez
Explore Kiteworks