Kiteworks

Enabling Zero Trust Data Exchange in One Platform

Free Trial EXPLORER KITEWORKS

Comment signaler une vulnérabilité dans ownCloud en toute sécurité

Comment signaler une vulnérabilité dans ownCloud en toute sécurité.

Comment signaler une vulnérabilité dans ownCloud en toute sécurité.
Découvrez comment signaler une faille de sécurité à ownCloud via les canaux officiels comme le VDP ou le bounty program. Suivez les recommandations et soumettez des rapports détaillés.

Accueil Glossaire Comment signaler une vulnérabilité dans ownCloud en toute sécurité

Politique de divulgation des vulnérabilités

ownCloud — une société du groupe Kiteworks

La sécurité d’ownCloud et de ses utilisateurs est une responsabilité essentielle.
Nous appliquons une politique formelle de divulgation des vulnérabilités et un système de récompenses afin d’identifier, de signaler et de résoudre efficacement les problèmes de sécurité.

Comment signaler une vulnérabilité

Comment signaler une vulnérabilité

Signalez les vulnérabilités de sécurité via nos canaux officiels :

Ne signalez pas de vulnérabilités de sécurité via les issues publiques GitHub, les forums ou les réseaux sociaux. La divulgation publique de vulnérabilités non corrigées met les utilisateurs en danger et disqualifie le signalement du système de récompenses.

Que faut-il inclure dans votre signalement

Un signalement pertinent de vulnérabilité doit comporter au minimum :

  • Une description claire de la vulnérabilité et de son impact potentiel.
  • Le produit et la version concernés (oCIS, Desktop Client, Android, iOS ou ownCloud Server 10.x).
  • Les étapes pour reproduire le problème, idéalement accompagnées d’une preuve de concept.
  • Votre évaluation de la gravité (score CVSS si possible).

Plus vous fournissez de détails, plus nous pourrons traiter et résoudre rapidement le problème.

Que faut-il inclure dans votre signalement
Notre engagement envers vous

Notre engagement envers vous

Lorsque vous signalez une vulnérabilité via nos canaux officiels, nous nous engageons à :

  • Évaluation. Un membre de l’équipe sécurité ownCloud analysera la vulnérabilité, évaluera son impact et déterminera sa gravité.
  • Résolution. Nous développerons et testerons un correctif, l’appliquerons aux branches concernées et l’intégrerons à la prochaine version de sécurité. Pour les problèmes critiques, nous pourrons publier une version hors cycle.

Règles d’engagement

Nous demandons aux chercheurs en sécurité de respecter les consignes suivantes :

  • Testez les vulnérabilités uniquement sur votre propre installation d’ownCloud.
  • N’accédez pas, ne modifiez pas et ne supprimez pas les données d’autres utilisateurs.
  • N’effectuez pas d’attaques par déni de service contre l’infrastructure ownCloud.
  • Ne publiez pas de détails sur la vulnérabilité tant qu’ownCloud n’a pas diffusé de correctif et d’avis public.
  • Laissez à l’équipe sécurité un délai raisonnable pour répondre et corriger le problème.
  • En cas de doute sur le périmètre, contactez-nous d’abord à security@owncloud.com.
Règles d’engagement
Système de récompenses

Système de récompenses

Notre système de récompenses sur YesWeHack récompense les chercheurs en sécurité pour les vulnérabilités qualifiées selon leur gravité. L’équipe sécurité ownCloud détermine la gravité à sa discrétion. Les récompenses sont versées via la plateforme YesWeHack. Les vulnérabilités nécessitant des privilèges administrateur (CVSS PR:H) sont généralement plafonnées à la gravité Élevée sauf en cas de chaîne avec une élévation de privilèges.

Hors périmètre

Les éléments suivants sont généralement hors périmètre de notre système de récompenses :

  • Attaques réseau (DDoS, MitM sans impact sur la couche applicative).
  • Ingénierie sociale ou attaques de phishing visant le personnel ownCloud.
  • Problèmes dans des applications tierces non maintenues par ownCloud (signalez-les au responsable concerné).
  • En-têtes de sécurité manquants sans impact démontré.
  • Mauvaise configuration SPF/DKIM/DMARC.
  • Politiques d’expiration de session.
  • Signalements issus de scanners automatisés sans preuve de concept validée.
Hors périmètre
Vulnérabilités de la supply chain et des dépendances

Vulnérabilités de la supply chain et des dépendances

Si vous découvrez une vulnérabilité dans une dépendance utilisée par ownCloud (bibliothèque, image de conteneur ou outil de build), signalez-la via nos canaux habituels. Nous coordonnerons la divulgation avec le responsable amont si nécessaire.

ownCloud surveille sa supply chain grâce à des analyses automatisées et applique un processus SBOM (Software Bill of Materials).

Contact

  • VDP / Système de récompenses : security.owncloud.com / YesWeHack
  • Email de l’équipe sécurité : security@owncloud.com
  • Contact OSPO : ospo@kiteworks.com
Contact

Foire aux questions

Vous pouvez signaler les vulnérabilités de sécurité via les canaux officiels d’ownCloud : la plateforme VDP à l’adresse security.owncloud.com, le Bug Bounty Program sur YesWeHack, ou par email à security@owncloud.com pour les problèmes hors du périmètre du bounty program. Évitez toute divulgation publique sur des plateformes comme GitHub, les forums ou les réseaux sociaux afin de protéger les utilisateurs et de conserver votre éligibilité au bounty program.

Un rapport de vulnérabilité utile doit comporter une description claire de la vulnérabilité et de son impact potentiel, le produit et la version concernés (par exemple, oCIS, Desktop Client, Android, iOS ou ownCloud Server 10.x), les étapes pour reproduire le problème avec une preuve de concept si possible, ainsi que votre évaluation de la gravité, comme un score CVSS. Plus votre rapport est détaillé, plus le triage et la résolution seront rapides.

ownCloud s’engage à analyser la vulnérabilité signalée en faisant évaluer son impact par un membre de l’équipe sécurité et à en déterminer la gravité. L’équipe développe et teste ensuite un correctif, l’applique aux branches concernées, puis l’intègre à la prochaine version de sécurité ou publie une mise à jour hors cycle pour les problèmes critiques.

Les chercheurs en sécurité doivent suivre ces règles : tester les vulnérabilités uniquement sur votre propre installation ownCloud, ne pas accéder ni modifier les données d’autres utilisateurs, s’abstenir de toute attaque par déni de service sur l’infrastructure ownCloud, ne pas publier de détails sur la vulnérabilité avant la diffusion d’un correctif et d’un avis, laisser un délai raisonnable pour la réponse et la correction, et contacter security@owncloud.com en cas de doute sur le périmètre.

Lancez-vous.

Il est facile de commencer à garantir la conformité réglementaire et à gérer efficacement les risques avec Kiteworks. Rejoignez les milliers d’organisations qui ont confiance dans la manière dont elles échangent des données privées entre personnes, machines et systèmes. Commencez dès aujourd’hui.

VOIR LA DÉMO

Table of Contents

Table of Content
Partagez
Tweetez
Partagez
Explore Kiteworks