Bonjour, On 07/10/2012 19:17, Stéphane Blondon wrote: > Quelques corrections et beaucoup de suggestions. Merci Stéphane, j'ai tout intégré. Amicalement, Thomas
#use wml::debian::translation-check translation="1.18" maintainer="Simon Paillard" #use wml::debian::template title="Conduire un audit" #use wml::debian::recent_list <p>Cette page donne une vue d'ensemble sommaire des étapes nécessaires pour conduire un audit de paquet.</p> <p>La première étape est en fait celle du choix du paquet à examiner, vous devriez choisir le plus critique en matière de sécurité.</p> <p>Allez voir <a href="$(HOME)/security/audit/packages">la liste des paquets que nous considérons comme importants à contrôler</a> pour des suggestions pour vous aider à vous décider.</p> <p>Il doit être clair que nous <em>n'essayons pas</em> de nous assurer qu'un paquet n'est contrôlé qu'une seule fois. Si plusieurs personnes choisissent d'examiner le même paquet, c'est une bonne chose, puisque cela démontre que de nombreuses personnes considèrent le paquet comme sensible en matière de sécurité.</p> <p>En autorisant une sélection des paquets essentiellement aléatoire, nous simplifions la coordination et éliminons le problème du <q>comment pouvez-vous faire confiance à la personne X pour faire un bon travail ?</q> (nous n'en avons pas besoin puisqu'on suppose que tôt ou tard, quelqu'un d'autre examinera le même programme).</p> <h2>Commencer l'audit</h2> <p>Après avoir sélectionné un paquet, vous devez commencer véritablement l'audit.</p> <p>Si vous n'êtes pas sûr des types de problèmes à chercher, commencez par lire un livre sur le développement de logiciels sûrs.</p> <p>Le guide <a href="http://www.dwheeler.com/secure-programs";>Secure Programming for Linux and Unix HOWTO</a> contient beaucoup de bonnes informations qui peuvent vous aider. <a href="http://www.securecoding.org/";>Secure Coding: Principles & Practices</a> par Mark G. Graff et Kenneth R. van Wyk est également un excellent livre.</p> <p>Bien que les outils ne soient pas parfaits, ils restent cependant très utiles pour trouver des vulnérabilités. Allez voir <a href="tools">la page des outils d'audit</a> pour plus d'informations sur certains outils d'audit et leur utilisation.</p> <p>De la même façon que regarder le code en lui-même, c'est une bonne idée de lire la documentation du paquet, d'essayer de l'installer et de l'utiliser.</p> <p>Cela doit vous permettre de penser à des moyens de déstabiliser le programme dans ses opérations habituelles.</p> <h2>Signaler les problèmes</h2> <p>Si vous découvrez un problème dans le paquet que vous examinez, vous devriez le signaler. Dans le rapport d'un bogue de sécurité, essayez de fournir un correctif ; ainsi, les développeurs pourront le corriger dans les temps. Il n'est pas nécessaire de fournir un exemple d'attaque (souvent appelé <em>exploit</em> ou <em>proof of concept</em>) puisque le correctif devrait parler de lui-même. C'est souvent mieux d'investir son temps dans la réalisation d'un correctif propre plutôt que dans la fourniture d'une attaque réussissant à exploiter le bogue.</p> <p>Voici une liste des étapes que nous vous recommandons de suivre si vous avez trouvé un bogue de sécurité dans Debian :</p> <ol> <li>Essayez de produire un correctif au bogue ou de rassembler assez d'informations pour que d'autres personnes puissent déterminer l'existence du bogue. Idéalement, chaque rapport devrait contenir un correctif du problème découvert, qui a été testé et confirmé comme réglant vraiment le problème. <p>Si vous n'avez pas de correctif, plus vous donnerez de détails sur l'étendue du problème, sa gravité et les manières de le contourner, mieux ce sera.</p></li> <li>Tout d'abord, regardez si le bogue de sécurité est présent dans l'actuelle distribution stable de Debian, s'il peut être présent dans d'autres distributions, ou dans la version fournie par les développeurs amont.</li> <li>En se basant sur la vérification précédente, signalez le problème : <ul> <li>aux responsables amont à travers l'adresse électronique de contact sur la sécurité, en fournissant l'analyse et le correctif ;</li> <li>à l'équipe de sécurité de Debian si le bogue est présent dans une version officielle de Debian. Typiquement, l'équipe de sécurité de Debian assignera une <a href="$(HOME)/security/cve-compatibility">référence CVE</a> à la vulnérabilité. L'équipe de sécurité se coordonnera avec toutes les autres distributions Linux si nécessaire, et contactera le responsable de paquet de votre part. Vous pouvez cependant envoyer une copie du courrier électronique également au responsable de paquet. Procédez ainsi uniquement lors de vulnérabilités à faible risque (voir ci-dessous) ;</li> <li>si le bogue n'est pas présent dans une version officielle de Debian, et que l'application peut être dans d'autres distributions ou systèmes d'exploitation, envoyez alors un courrier électronique à <a href="http://oss-security.openwall.org/wiki/mailing-lists/oss-security";>oss-security</a> (une liste de diffusion publique pour rapporter et discuter des bogues de sécurité dévoilés publiquement). Vous n'avez pas besoin de le faire si vous avez déjà averti l'équipe de sécurité de Debian du bogue, puisqu'ils le feront suivre à cette liste ;</li> <li>si le bogue n'est présent dans <strong>aucune</strong> version officielle de Debian, et que vous êtes absolument sûr que l'application n'est <strong>pas</strong> présente dans d'autres distributions ou systèmes d'exploitation, alors signalez-le par le système de suivi des bogues.</li> </ul></li> <li>Une fois la vulnérabilité publique (c'est-à -dire que l'équipe de sécurité de Debian ou un autre vendeur a publié une annonce), le bogue ainsi que toutes les informations pertinentes devront être enregistrés dans le système de suivi des bogues de Debian, pour garder la trace du problème de sécurité des versions non officielles de Debian (c'est-à -dire <em>Sid</em> ou <em>Testing</em>). Ceci est généralement effectué par l'équipe de sécurité elle-même ; si vous vous apercevez que cela a été oublié, ou que vous n'avez pas rapporté le bogue à l'équipe de sécurité, vous pouvez signaler le bogue vous-même. Assurez-vous d'avoir marqué correctement le bogue (utilisez l'étiquette <em>security</em>) et d'avoir choisi la bonne gravité (généralement <em>grave</em> ou plus haute). Assurez-vous aussi que le titre du bogue contienne la bonne <a href="$(HOME)/security/cve-compatibility">référence CVE</a> s'il lui en a été attribué une. Cela fournit un moyen de garder la trace des bogues de sécurité afin qu'ils soient corrigés à la fois dans les versions officielles et non officielles de Debian.</li> <li>Si vous le souhaitez, une fois que la vulnérabilité est publiée, vous pouvez transmettre l'information à des listes de diffusion publiques, comme <a href="https://lists.grok.org.uk/mailman/listinfo/full-disclosure";>full-disclosure</a> ou <a href="http://www.securityfocus.com/archive/1";>Bugtraq</a>.</li> </ol> <p>Vous remarquerez que ces étapes peuvent dépendre du risque associé à la vulnérabilité trouvée. Vous devez évaluer le risque en vous basant sur :</p> <ul> <li>le caractère distant ou local de la vulnérabilité ;</li> <li>les conséquences d'une vulnérabilité exploitée ;</li> <li>l'étendue d'utilisation du logiciel affecté par la vulnérabilité.</li> </ul> <p>Ce n'est pas la même chose de rapporter, par exemple, une attaque locale par lien symbolique qui ne peut être utilisée que par des utilisateurs authentifiés, qui leur permet uniquement d'endommager le système, que de rapporter une exploitation distante de dépassement de tampon, qui donne les droits administrateur, et est présente dans un logiciel d'usage très répandu.</p> <p>Dans la plupart des cas, puisque la plupart des bogues de sécurité ne devraient pas être fermés avant qu'ils ne soient corrigés, <em>ne</em> les signalez <em>pas</em> par l'habituel <a href="http://bugs.debian.org/";>système de suivi des bogues de Debian</a>, mais signalez plutôt le problème directement à <a href="$(HOME)/security/">l'équipe de sécurité</a> qui s'occupera de publier un paquet mis à jour, et une fois la correction effectuée, de le rapporter dans le BTS.</p>
Attachment:
signature.asc
Description: OpenPGP digital signature