Security.txt

Le fichier security.txt est une norme proposée par le site securitytxt.org pour les informations de sécurité des sites web qui est destinée à permettre aux chercheurs en sécurité de signaler facilement les failles de sécurité.

La norme prescrit un fichier texte appelé security.txt qui est similaire au robots.txt mais destiné à être lu par les personnes souhaitant contacter le propriétaire d'un site web au sujet des problèmes de sécurité.

Lorsque des risques et des failles de sécurité dans des services web sont découverts par des chercheurs en sécurité indépendants, ils n'ont souvent pas les moyens de les divulguer correctement. Par conséquent, les problèmes de sécurité peuvent ne pas être signalés. Le fichier security.txt définit une norme pour aider les organisations à définir le processus permettant aux chercheurs en sécurité de divulguer les vulnérabilités en toute sécurité.

Comment créer un fichier security.txt

Créez un fichier texte appelé security.txt dans le répertoire .well-known de votre projet. Celui-ci peut contenir les informations suivantes.

Contact (requis) : un lien ou une adresse électronique pour que les personnes puissent vous contacter sur les questions de sécurité. N'oubliez pas d'inclure "https://" pour les URL, et "mailto :" pour les courriels.

Encryption (optionnel) : un lien vers une clé que les chercheurs en sécurité doivent utiliser pour vous parler en toute sécurité. N'oubliez pas d'inclure "https://".

Acknowledgments (optionnel) : un lien vers une page web où vous dites merci aux chercheurs en sécurité qui vous ont aidé. N'oubliez pas d'inclure "https://".

Preferred-Languages (optionnel, une ligne maximum) : une liste de codes de langue, séparés par des virgules, que votre équipe de sécurité parle. Vous pouvez inclure plus d'une langue.

Canonical (optionnel, une ligne maximum) : l'URL la plus courante pour accéder à votre fichier security.txt. Il est important de l'inclure si vous signez numériquement le fichier security.txt, afin que les chercheurs puissent être sûrs que vous n'avez pas simplement volé le fichier de quelqu'un d'autre avec le même contenu.

Policy (optionnel) : un lien vers une politique détaillant ce que les chercheurs en sécurité doivent faire lorsqu'ils recherchent ou signalent des problèmes de sécurité. N'oubliez pas d'inclure "https://".

Hiring (optionnel) : un lien vers toutes les offres d'emploi liées à la sécurité dans votre organisation. N'oubliez pas d'inclure "https://".

Si vous voulez donner aux chercheurs en sécurité l'assurance que votre fichier security.txt est authentique et qu'il n'a pas été créé par un pirate, pensez à signer numériquement celui-ci avec une signature OpenPGP en clair.

Exemple de fichier security.txt

Exemple de fichier security.txt créé avec le site officiel site officiel securitytxt.org :

Contact: security@example.com Encryption: https://example.com/pgp-key.txt Acknowledgments: https://example.com/hall-of-fame.html Preferred-Languages: en, es, ru Canonical: https://example.com/.well-known/security.txt Policy: https://example.com/security-policy.html Hiring: https://example.com/jobs.html

Questions fréquentes sur le fichier security.txt

Quel est l'objectif principal du fichier security.txt ?

L'objectif principal de security.txt est de faciliter la tâche des entreprises et des chercheurs en sécurité lorsqu'ils tentent de sécuriser des plateformes. Grâce au fichier security.txt, les chercheurs en sécurité peuvent facilement entrer en contact avec les entreprises sur les questions de sécurité.

security.txt est-il un RFC ?

security.txt est actuellement un projet draft qui a été soumis à l'examen du RFC. Cela signifie que security.txt n'en est encore qu'à ses débuts. Les contributions du public sont les bienvenues : https://github.com/securitytxt/security-txt

Où dois-je mettre le fichier security.txt ?

Pour les sites web, le fichier security.txt doit être placé sous le chemin d'accès /.well-known/ (/.well-known/security.txt) [RFC8615]. Il peut également être placé dans le répertoire racine (/security.txt) d'un site web, surtout si le répertoire /.well-known/ ne peut pas être utilisé pour des raisons techniques, ou simplement comme solution de repli. Le fichier peut être placé dans les deux emplacements d'un site web en même temps. Pour les dépôts de code, le fichier doit être placé dans le répertoire racine du dépôt.

Y a-t-il des paramètres que je dois appliquer au fichier ?

Le fichier security.txt doit avoir un type de média Internet de type text/plain et doit être servi via HTTPS.

L'ajout d'une adresse électronique m'exposera-t-il aux robots de spam ?

La valeur de l'adresse électronique est un champ facultatif. Si vous vous inquiétez du spam, vous pouvez définir un URI comme valeur et un lien vers votre politique de sécurité.

En savoir plus sur le fichier security.txt

Pour en savoir plus sur le fichier security.txt, n'hésitez pas à consulter le site officiel securitytxt.org