[RFR2] wml://security/faq.wml

["David Prévot" <david@tilapin.org>]

Salut,

> relecture rapide de lâ??ensemble du fichier. Complément de Baptiste.

Merci à vous deux, tout a été intégré, et merci d?avance pour vos autres
relectures.

Amicalement

David

Index: french/security/faq.wml
===================================================================
RCS file: /cvs/webwml/webwml/french/security/faq.wml,v
retrieving revision 1.78
diff -u -r1.78 faq.wml
--- french/security/faq.wml	29 Jun 2012 22:50:09 -0000	1.78
+++ french/security/faq.wml	8 Dec 2013 21:45:46 -0000
@@ -1,5 +1,5 @@
 #use wml::debian::template title="FAQ de l'équipe Debian sur la sécurité"
-#use wml::debian::translation-check translation="1.77" maintainer="David Prévot"
+#use wml::debian::translation-check translation="1.82" maintainer="David Prévot"
 #include "$(ENGLISHDIR)/security/faq.inc"
 
 # Translators:
@@ -8,7 +8,7 @@
 # Thomas Marteau, 2004
 # Simon Paillard, 2005-2009
 # Jean-Ã?douard Babin, 2008
-# David Prévot, 2011, 2012.
+# David Prévot, 2011-2013.
 
 <p>Ces derniers jours, nous avons reçu un peu trop souvent des questions
 identiques, et avons donc décidé d'écrire cette page pour y répondre
@@ -124,7 +124,7 @@
    écrivons alors <q>local (remote)</q>.</p>
 
 <p>
-Ce genre de vulnérabilités est en quelque sorte en partie
+Ce genre de vulnérabilité est en quelque sorte en partie
 locale et distante, et concerne souvent les fichiers
 disponibles par le réseau comme les courriers électroniques et
 leurs pièces jointes ou depuis une page de téléchargement.
@@ -149,7 +149,7 @@
 <toc-add-entry name=archismissing>J'ai reçu une annonce, mais la construction
 pour une architecture de processeur semble manquer.</toc-add-entry>
 <p>
-R : Normalement, l'équipe chargée de la sécurité publie
+R. : Normalement, l'équipe chargée de la sécurité publie
 une annonce avec les constructions des paquets mis à jour
 pour toutes les architectures prises en charge par Debian. 
 
@@ -175,10 +175,12 @@
 <tt>unstable</tt>&nbsp;?</toc-add-entry>
 
 <p>
-R.&nbsp;: La réponse courte est&nbsp;: elle ne l'est pas.
-<tt>unstable</tt>
-   évolue rapidement et l'équipe chargée de la sécurité n'a pas les
-   ressources nécessaires pour faire ce travail correctement. Si vous
+R. : La sécurité pour <tt>unstable</tt> est dâ??abord gérée par les
+responsables de paquets et non par lâ??équipe chargée de la sécurité.
+Lâ??équipe chargée de la sécurité pourrait tout de même envoyer des
+correctifs de sécurité urgents quand les responsables ont lâ??air inactifs.
+La prise en charge de stable sera toujours la priorité.
+Si vous
 souhaitez un serveur sûr (et stable), vous devriez
 garder la distribution stable.
 </p>
@@ -187,27 +189,19 @@
 &nbsp;?</toc-add-entry>
 
 <p>
-R.&nbsp;: Si vous souhaitez un serveur sûr (et stable), vous devriez
+R. : La sécurité pour <tt>testing</tt> bénéficie des efforts sur la
+sécurité réalisés par tout le projet pour <tt>unstable</tt>.
+Cependant, un délai minimal de deux jours existe pour la migration, et les
+correctifs de sécurité peuvent parfois être retenus par les transitions.
+Lâ??équipe chargée de la sécurité aide à  faire avancer ces transitions
+qui retiennent les envois de sécurité importants, mais ce nâ??est
+pas toujours possible et des contretemps pourraient survenir.
+En particulier, les mois qui suivent une nouvelle publication de stable,
+quand de nombreuses nouvelles versions sont envoyées dans <tt>unstable</tt>,
+les correctifs de sécurité pourraient être mis en attente.
+Si vous souhaitez un serveur sûr (et stable), vous devriez
 garder la distribution stable.
-Cependant, il existe un
-   suivi de la sécurité pour <tt>testing</tt>&nbsp;: l'équipe de
-sécurité de Debian s'occupe des problèmes de sécurité pour <tt>testing</tt>.
-Elle s'assurera que les paquets corrigés intègrent <tt>testing</tt> par la
-   méthode habituelle en migrant depuis <tt>unstable</tt> (avec un délai de
-   quarantaine réduit), ou si cela prend trop de temps, les rendront
-   accessibles par l'infrastructure <a
-   href="http://security.debian.org";>http://security.debian.org</a>.
-   Pour l'utiliser, assurez-vous de la présence dans <code>/etc/apt/sources.list</code> de la ligne&nbsp;:</p>
-   <p><code>deb http://security.debian.org &lt;nom_de_code&gt;/updates main</code></p>
-   <p>et exécutez <code>apt-get update &amp;&amp; apt-get upgrade</code> commme
-   vous en avez l'habitude</p>
-<p>
-Remarquez que cela ne garantit pas que tous les bogues de sécurité
-connus soient corrigés dans <tt>testing</tt>&nbsp;! Certains paquets mis à 
-   jour peuvent être en attente de transition vers <tt>testing</tt>.
-   Plus d'informations sur l'infrastructure de sécurité
-   pour <tt>testing</tt> sont disponibles sur <a
-   href="http://secure-testing-master.debian.net/";>http://secure-testing-master.debian.net/</a>.</p>
+</p>
 
 <toc-add-entry name=contrib>Comment est gérée la sécurité pour <tt>contrib</tt>
 et <tt>non-free</tt>&nbsp;?</toc-add-entry>
@@ -250,7 +244,7 @@
    problèmes s'ils n'étaient pas à jour.</p>
 
 <toc-add-entry name=missing>J'ai vu les DSA&nbsp;100 et DSA&nbsp;102, 
-mais où est le DSA&nbsp;101&nbsp;?</toc-add-entry>
+mais où est la DSA&nbsp;101&nbsp;?</toc-add-entry>
 
 <p>R.&nbsp;: Plusieurs distributeurs (la plupart de GNU/Linux, mais aussi des
    dérivés BSD) coordonnent leurs alertes de sécurité pour certains
@@ -286,8 +280,8 @@
 
 <p>Si nécessaire, le message peut-être chiffré avec la clé publique du contact 
 sécurité Debian (identifiant de clef<a 
-   href="http://pgp.surfnet.nl/pks/lookup?search=0x68B64E0D&amp;op=vindex";>\
-   0x68B64E0D</a>).
+   href="http://pgp.surfnet.nl/pks/lookup?op=vindex&amp;search=0xBACB4B5C30AC38F319EE961E2702CAEB90F8EEC5";>\
+   0x90F8EEC5</a>).
 Pour les clés PGP/GPG individuelles des membres de l'équipe chargée de la sécurité,
    veuillez consulter le serveur de clés <a href="http://keyring.debian.org/";>\
    keyring.debian.org</a>.
@@ -325,7 +319,7 @@
    pouvez aussi les contacter par courrier électronique à l'adresse
    team@security.debian.org.  Cette équipe s'occupe du suivi des
    problèmes de sécurité, peut aider les responsables de paquets à 
-   corriger les problèmes de sécurité ou les corrigent eux-mêmes, est
+   corriger les problèmes de sécurité ou les corrige dâ??elle-même, est
    responsable de l'envoi des bulletins d'alerte de sécurité et est
    responsable du site security.debian.org.</p>
 
@@ -376,18 +370,6 @@
 ou sans modification.
 </p>
    
-<p>
-Si vous n'êtes pas habitué aux mises à jour de sécurité, et que vous
-n'êtes pas certain que le paquet est sain, lisez bien ce qui suit,
-   ne mettez pas vos paquets en ligne dans le répertoire <i>incoming</i>.
-L'équipe en charge de la sécurité dispose de moyens limités pour
-   traiter un paquet mal formé, particulièrement dans le cas où le numéro
-   de version n'est pas bon. Les paquets ne pourront pas être rejetés
-   et le démon de construction <i>buildd</i> sera perturbé si cela doit
-   se produire. Pour traiter ces problèmes, utilisez la messagerie électronique et 
-veuillez ne pas ajouter de problèmes supplémentaires sur les bras
-   de l'équipe en charge de la sécurité.</p>
-
 <p>La <a href="$(DOC)/developers-reference/pkgs.html#bug-security">\
    Référence du Développeur</a> contient les instructions complètes
    sur la démarche à suivre.</p>
@@ -397,7 +379,7 @@
 en ligne dans <i>proposed-updates</i>&nbsp;?
 </toc-add-entry>
 
-<p>R&nbsp;: Techniquement parlant, vous pouvez. Cependant, vous ne devriez pas.
+<p>R. : Techniquement parlant, vous pouvez. Cependant, vous ne devriez pas.
    En effet, cela interfère de façon néfaste avec le travail de l'équipe
    en charge de la sécurité. Les paquets situés dans security.debian.org
    seront automatiquement copiés dans <i>proposed-updates</i>. Si un paquet
@@ -407,8 +389,8 @@
    de la mise à jour de sécurité, à moins que les <q>mauvais</q> 
    paquets du répertoire <i>proposed-updates</i> ne soient rejetés. Veuillez 
    prendre contact avec l'équipe en charge de la sécurité, ajoutez tous les 
-   détails de la faille et joignez à votre courrier électronique les fichiers
-   sources (c'est-Ã -dire les fichiers diff.gz et dsc).</p>
+   détails de la faille et joignez les fichiers sources (c'est-à -dire les 
+   fichiers diff.gz et dsc) à votre courrier électronique.</p>
 
 <p>La <a href="$(DOC)/developers-reference/pkgs.html#bug-security">\
    Référence du Développeur</a> contient les instructions complètes sur
@@ -419,7 +401,7 @@
 ligne&nbsp;?</toc-add-entry>
 
 <p>
-R&nbsp;: Si vous êtes certain de ne pas avoir cassé quoi que ce soit, que le
+R. : Si vous êtes certain de ne pas avoir cassé quoi que ce soit, que le
    numéro de version est le bon (c'est-à -dire supérieur à celui de la version
    qui se trouve dans stable et inférieur à celui qui se trouve dans 
 testing et unstable), que vous n'avez pas modifié
@@ -477,7 +459,7 @@
 
 <p>Veuillez noter que les paquets mis en ligne par les responsables 
    de paquets (et non par l'équipe en charge de la sécurité) dans 
-   le répertoire proposed-updates/ ne sont pas maintenus par 
+   le répertoire proposed-updates ne sont pas maintenus par 
    l'équipe en charge de la sécurité.</p>
 
 <toc-add-entry name=composing>De quelle façon est constituée l'équipe chargée 
@@ -498,10 +480,10 @@
 <toc-add-entry name=check>Comment puis-je contrôler l'intégrité des paquets&nbsp;?</toc-add-entry>
 
 <p>R.&nbsp;: Ce processus consiste à contrôler la signature du fichier <i>Release</i> à 
-   l'aide de la <a href="http://ftp-master.debian.org/archive-key-4.0.asc";>\
+   l'aide de la <a href="http://ftp-master.debian.org/keys.html";>\
    clef publique</a> utilisée pour l'archive. Le fichier <i>Release</i> 
-contient les sommes de contrôle MD5 des fichiers <i>Packages</i> et <i>Sources</i> qui
-contiennent respectivement les sommes de contrôle MD5 des paquets binaires et des 
+contient les sommes de contrôle des fichiers <i>Packages</i> et <i>Sources</i> qui
+contiennent respectivement les sommes de contrôle des paquets binaires et des 
 paquets source.
 Des instructions détaillées sur la façon de contrôler 
    l'intégrité des paquets peuvent être obtenues dans le <a
@@ -520,3 +502,47 @@
    problème, mais que vous connaissez le correctif, parlez-en également à 
    l'équipe en charge de la sécurité. Il est toutefois possible qu'on vous
    renvoie vers le responsable de la distribution stable.</p>
+
+<toc-add-entry name=cvewhat>Quâ??est-ce quâ??un identifiant CVEÂ ?</toc-add-entry>
+<p>
+R. : Le projet Common Vulnerabilities and Exposures (CVE) assigne des noms
+uniques, appelés identifiants CVE, pour les vulnérabilités spécifiques à la
+sécurité, afin de faciliter la référence unique à un problème spécifique.
+Des renseignements supplémentaires sont disponibles sur <a
+href="https://fr.wikipedia.org/wiki/Common_Vulnerabilities_and_Exposures";>\
+Wikipédia</a>.
+</p>
+
+<toc-add-entry name=cvedsa>Est-ce que Debian réalise une annonce de sécurité
+(DSA) pour chaque identifiant CVEÂ ?</toc-add-entry>
+<p>
+R. : Lâ??équipe de sécurité Debian suit tous les identifiants CVE publiés, les
+connecte aux paquets Debian correspondants et évalue leur impact dans le
+contexte de Debian â?? le fait quâ??un identifiant CVE soit attribué nâ??implique pas
+forcément que le problème représente une menace sévère pour un système Debian.
+Ces renseignements sont suivis dans le <a
+href="http://security-tracker.debian.org";>Debian Security Tracker</a> et une
+annonce de sécurité Debian sera envoyée pour les problèmes considérés sérieux.
+</p>
+
+<p>
+Les problèmes ayant un faible impact pour lesquels aucune DSA ne sera publiée
+peuvent être corrigés dans la publication de Debian suivante, lors dâ??une
+mise à jour intermédiaire des distributions stable ou oldstable actuelles.
+Un correctif pour ces problèmes peut aussi être inclus
+dans une DSA publiée pour une vulnérabilité plus sérieuse.
+</p>
+
+<toc-add-entry name=cveget>Debian peut-elle assigner des identifiants CVEÂ ?</toc-add-entry>
+<p>
+R. : Debian est une autorité de numération CVE et peut
+assigner des identifiants CVE, mais conformément à la politique
+de CVE, uniquement pour des problèmes non encore publics.
+Si vous avez une vulnérabilité de sécurité non publique pour un
+logiciel dans Debian et que vous voudriez obtenir un identifiant
+pour ce problème, contactez lâ??équipe de sécurité Debian.
+Dans le cas où la vulnérabilité est déjà publique,
+veuillez suivre la procédure détaillée dans le <a
+href="http://people.redhat.com/kseifrie/CVE-OpenSource-Request-HOWTO.html";>\
+CVE OpenSource Request HOWTO</a>.
+</p>

Index: french/security/faq.wml
===================================================================
RCS file: /cvs/webwml/webwml/french/security/faq.wml,v
retrieving revision 1.78
diff -u -r1.78 faq.wml
--- french/security/faq.wml	29 Jun 2012 22:50:09 -0000	1.78
+++ french/security/faq.wml	8 Dec 2013 21:45:46 -0000
@@ -1,5 +1,5 @@
 #use wml::debian::template title="FAQ de l'équipe Debian sur la sécurité"
-#use wml::debian::translation-check translation="1.77" maintainer="David Prévot"
+#use wml::debian::translation-check translation="1.82" maintainer="David Prévot"
 #include "$(ENGLISHDIR)/security/faq.inc"
 
 # Translators:
@@ -8,7 +8,7 @@
 # Thomas Marteau, 2004
 # Simon Paillard, 2005-2009
 # Jean-Ã?douard Babin, 2008
-# David Prévot, 2011, 2012.
+# David Prévot, 2011-2013.
 
 <p>Ces derniers jours, nous avons reçu un peu trop souvent des questions
 identiques, et avons donc décidé d'écrire cette page pour y répondre
@@ -124,7 +124,7 @@
    écrivons alors <q>local (remote)</q>.</p>
 
 <p>
-Ce genre de vulnérabilités est en quelque sorte en partie
+Ce genre de vulnérabilité est en quelque sorte en partie
 locale et distante, et concerne souvent les fichiers
 disponibles par le réseau comme les courriers électroniques et
 leurs pièces jointes ou depuis une page de téléchargement.
@@ -149,7 +149,7 @@
 <toc-add-entry name=archismissing>J'ai reçu une annonce, mais la construction
 pour une architecture de processeur semble manquer.</toc-add-entry>
 <p>
-R : Normalement, l'équipe chargée de la sécurité publie
+R. : Normalement, l'équipe chargée de la sécurité publie
 une annonce avec les constructions des paquets mis à jour
 pour toutes les architectures prises en charge par Debian. 
 
@@ -175,10 +175,12 @@
 <tt>unstable</tt>&nbsp;?</toc-add-entry>
 
 <p>
-R.&nbsp;: La réponse courte est&nbsp;: elle ne l'est pas.
-<tt>unstable</tt>
-   évolue rapidement et l'équipe chargée de la sécurité n'a pas les
-   ressources nécessaires pour faire ce travail correctement. Si vous
+R. : La sécurité pour <tt>unstable</tt> est dâ??abord gérée par les
+responsables de paquets et non par lâ??équipe chargée de la sécurité.
+Lâ??équipe chargée de la sécurité pourrait tout de même envoyer des
+correctifs de sécurité urgents quand les responsables ont lâ??air inactifs.
+La prise en charge de stable sera toujours la priorité.
+Si vous
 souhaitez un serveur sûr (et stable), vous devriez
 garder la distribution stable.
 </p>
@@ -187,27 +189,19 @@
 &nbsp;?</toc-add-entry>
 
 <p>
-R.&nbsp;: Si vous souhaitez un serveur sûr (et stable), vous devriez
+R. : La sécurité pour <tt>testing</tt> bénéficie des efforts sur la
+sécurité réalisés par tout le projet pour <tt>unstable</tt>.
+Cependant, un délai minimal de deux jours existe pour la migration, et les
+correctifs de sécurité peuvent parfois être retenus par les transitions.
+Lâ??équipe chargée de la sécurité aide à  faire avancer ces transitions
+qui retiennent les envois de sécurité importants, mais ce nâ??est
+pas toujours possible et des contretemps pourraient survenir.
+En particulier, les mois qui suivent une nouvelle publication de stable,
+quand de nombreuses nouvelles versions sont envoyées dans <tt>unstable</tt>,
+les correctifs de sécurité pourraient être mis en attente.
+Si vous souhaitez un serveur sûr (et stable), vous devriez
 garder la distribution stable.
-Cependant, il existe un
-   suivi de la sécurité pour <tt>testing</tt>&nbsp;: l'équipe de
-sécurité de Debian s'occupe des problèmes de sécurité pour <tt>testing</tt>.
-Elle s'assurera que les paquets corrigés intègrent <tt>testing</tt> par la
-   méthode habituelle en migrant depuis <tt>unstable</tt> (avec un délai de
-   quarantaine réduit), ou si cela prend trop de temps, les rendront
-   accessibles par l'infrastructure <a
-   href="http://security.debian.org";>http://security.debian.org</a>.
-   Pour l'utiliser, assurez-vous de la présence dans <code>/etc/apt/sources.list</code> de la ligne&nbsp;:</p>
-   <p><code>deb http://security.debian.org &lt;nom_de_code&gt;/updates main</code></p>
-   <p>et exécutez <code>apt-get update &amp;&amp; apt-get upgrade</code> commme
-   vous en avez l'habitude</p>
-<p>
-Remarquez que cela ne garantit pas que tous les bogues de sécurité
-connus soient corrigés dans <tt>testing</tt>&nbsp;! Certains paquets mis à 
-   jour peuvent être en attente de transition vers <tt>testing</tt>.
-   Plus d'informations sur l'infrastructure de sécurité
-   pour <tt>testing</tt> sont disponibles sur <a
-   href="http://secure-testing-master.debian.net/";>http://secure-testing-master.debian.net/</a>.</p>
+</p>
 
 <toc-add-entry name=contrib>Comment est gérée la sécurité pour <tt>contrib</tt>
 et <tt>non-free</tt>&nbsp;?</toc-add-entry>
@@ -250,7 +244,7 @@
    problèmes s'ils n'étaient pas à jour.</p>
 
 <toc-add-entry name=missing>J'ai vu les DSA&nbsp;100 et DSA&nbsp;102, 
-mais où est le DSA&nbsp;101&nbsp;?</toc-add-entry>
+mais où est la DSA&nbsp;101&nbsp;?</toc-add-entry>
 
 <p>R.&nbsp;: Plusieurs distributeurs (la plupart de GNU/Linux, mais aussi des
    dérivés BSD) coordonnent leurs alertes de sécurité pour certains
@@ -286,8 +280,8 @@
 
 <p>Si nécessaire, le message peut-être chiffré avec la clé publique du contact 
 sécurité Debian (identifiant de clef<a 
-   href="http://pgp.surfnet.nl/pks/lookup?search=0x68B64E0D&amp;op=vindex";>\
-   0x68B64E0D</a>).
+   href="http://pgp.surfnet.nl/pks/lookup?op=vindex&amp;search=0xBACB4B5C30AC38F319EE961E2702CAEB90F8EEC5";>\
+   0x90F8EEC5</a>).
 Pour les clés PGP/GPG individuelles des membres de l'équipe chargée de la sécurité,
    veuillez consulter le serveur de clés <a href="http://keyring.debian.org/";>\
    keyring.debian.org</a>.
@@ -325,7 +319,7 @@
    pouvez aussi les contacter par courrier électronique à l'adresse
    team@security.debian.org.  Cette équipe s'occupe du suivi des
    problèmes de sécurité, peut aider les responsables de paquets à 
-   corriger les problèmes de sécurité ou les corrigent eux-mêmes, est
+   corriger les problèmes de sécurité ou les corrige dâ??elle-même, est
    responsable de l'envoi des bulletins d'alerte de sécurité et est
    responsable du site security.debian.org.</p>
 
@@ -376,18 +370,6 @@
 ou sans modification.
 </p>
    
-<p>
-Si vous n'êtes pas habitué aux mises à jour de sécurité, et que vous
-n'êtes pas certain que le paquet est sain, lisez bien ce qui suit,
-   ne mettez pas vos paquets en ligne dans le répertoire <i>incoming</i>.
-L'équipe en charge de la sécurité dispose de moyens limités pour
-   traiter un paquet mal formé, particulièrement dans le cas où le numéro
-   de version n'est pas bon. Les paquets ne pourront pas être rejetés
-   et le démon de construction <i>buildd</i> sera perturbé si cela doit
-   se produire. Pour traiter ces problèmes, utilisez la messagerie électronique et 
-veuillez ne pas ajouter de problèmes supplémentaires sur les bras
-   de l'équipe en charge de la sécurité.</p>
-
 <p>La <a href="$(DOC)/developers-reference/pkgs.html#bug-security">\
    Référence du Développeur</a> contient les instructions complètes
    sur la démarche à suivre.</p>
@@ -397,7 +379,7 @@
 en ligne dans <i>proposed-updates</i>&nbsp;?
 </toc-add-entry>
 
-<p>R&nbsp;: Techniquement parlant, vous pouvez. Cependant, vous ne devriez pas.
+<p>R. : Techniquement parlant, vous pouvez. Cependant, vous ne devriez pas.
    En effet, cela interfère de façon néfaste avec le travail de l'équipe
    en charge de la sécurité. Les paquets situés dans security.debian.org
    seront automatiquement copiés dans <i>proposed-updates</i>. Si un paquet
@@ -407,8 +389,8 @@
    de la mise à jour de sécurité, à moins que les <q>mauvais</q> 
    paquets du répertoire <i>proposed-updates</i> ne soient rejetés. Veuillez 
    prendre contact avec l'équipe en charge de la sécurité, ajoutez tous les 
-   détails de la faille et joignez à votre courrier électronique les fichiers
-   sources (c'est-Ã -dire les fichiers diff.gz et dsc).</p>
+   détails de la faille et joignez les fichiers sources (c'est-à -dire les 
+   fichiers diff.gz et dsc) à votre courrier électronique.</p>
 
 <p>La <a href="$(DOC)/developers-reference/pkgs.html#bug-security">\
    Référence du Développeur</a> contient les instructions complètes sur
@@ -419,7 +401,7 @@
 ligne&nbsp;?</toc-add-entry>
 
 <p>
-R&nbsp;: Si vous êtes certain de ne pas avoir cassé quoi que ce soit, que le
+R. : Si vous êtes certain de ne pas avoir cassé quoi que ce soit, que le
    numéro de version est le bon (c'est-à -dire supérieur à celui de la version
    qui se trouve dans stable et inférieur à celui qui se trouve dans 
 testing et unstable), que vous n'avez pas modifié
@@ -477,7 +459,7 @@
 
 <p>Veuillez noter que les paquets mis en ligne par les responsables 
    de paquets (et non par l'équipe en charge de la sécurité) dans 
-   le répertoire proposed-updates/ ne sont pas maintenus par 
+   le répertoire proposed-updates ne sont pas maintenus par 
    l'équipe en charge de la sécurité.</p>
 
 <toc-add-entry name=composing>De quelle façon est constituée l'équipe chargée 
@@ -498,10 +480,10 @@
 <toc-add-entry name=check>Comment puis-je contrôler l'intégrité des paquets&nbsp;?</toc-add-entry>
 
 <p>R.&nbsp;: Ce processus consiste à contrôler la signature du fichier <i>Release</i> à 
-   l'aide de la <a href="http://ftp-master.debian.org/archive-key-4.0.asc";>\
+   l'aide de la <a href="http://ftp-master.debian.org/keys.html";>\
    clef publique</a> utilisée pour l'archive. Le fichier <i>Release</i> 
-contient les sommes de contrôle MD5 des fichiers <i>Packages</i> et <i>Sources</i> qui
-contiennent respectivement les sommes de contrôle MD5 des paquets binaires et des 
+contient les sommes de contrôle des fichiers <i>Packages</i> et <i>Sources</i> qui
+contiennent respectivement les sommes de contrôle des paquets binaires et des 
 paquets source.
 Des instructions détaillées sur la façon de contrôler 
    l'intégrité des paquets peuvent être obtenues dans le <a
@@ -520,3 +502,47 @@
    problème, mais que vous connaissez le correctif, parlez-en également à 
    l'équipe en charge de la sécurité. Il est toutefois possible qu'on vous
    renvoie vers le responsable de la distribution stable.</p>
+
+<toc-add-entry name=cvewhat>Quâ??est-ce quâ??un identifiant CVEÂ ?</toc-add-entry>
+<p>
+R. : Le projet Common Vulnerabilities and Exposures (CVE) assigne des noms
+uniques, appelés identifiants CVE, pour les vulnérabilités spécifiques à la
+sécurité, afin de faciliter la référence unique à un problème spécifique.
+Des renseignements supplémentaires sont disponibles sur <a
+href="https://fr.wikipedia.org/wiki/Common_Vulnerabilities_and_Exposures";>\
+Wikipédia</a>.
+</p>
+
+<toc-add-entry name=cvedsa>Est-ce que Debian réalise une annonce de sécurité
+(DSA) pour chaque identifiant CVEÂ ?</toc-add-entry>
+<p>
+R. : Lâ??équipe de sécurité Debian suit tous les identifiants CVE publiés, les
+connecte aux paquets Debian correspondants et évalue leur impact dans le
+contexte de Debian â?? le fait quâ??un identifiant CVE soit attribué nâ??implique pas
+forcément que le problème représente une menace sévère pour un système Debian.
+Ces renseignements sont suivis dans le <a
+href="http://security-tracker.debian.org";>Debian Security Tracker</a> et une
+annonce de sécurité Debian sera envoyée pour les problèmes considérés sérieux.
+</p>
+
+<p>
+Les problèmes ayant un faible impact pour lesquels aucune DSA ne sera publiée
+peuvent être corrigés dans la publication de Debian suivante, lors dâ??une
+mise à jour intermédiaire des distributions stable ou oldstable actuelles.
+Un correctif pour ces problèmes peut aussi être inclus
+dans une DSA publiée pour une vulnérabilité plus sérieuse.
+</p>
+
+<toc-add-entry name=cveget>Debian peut-elle assigner des identifiants CVEÂ ?</toc-add-entry>
+<p>
+R. : Debian est une autorité de numération CVE et peut
+assigner des identifiants CVE, mais conformément à la politique
+de CVE, uniquement pour des problèmes non encore publics.
+Si vous avez une vulnérabilité de sécurité non publique pour un
+logiciel dans Debian et que vous voudriez obtenir un identifiant
+pour ce problème, contactez lâ??équipe de sécurité Debian.
+Dans le cas où la vulnérabilité est déjà publique,
+veuillez suivre la procédure détaillée dans le <a
+href="http://people.redhat.com/kseifrie/CVE-OpenSource-Request-HOWTO.html";>\
+CVE OpenSource Request HOWTO</a>.
+</p>