Security.txt

Fichier presque magique dont le nom de fichier (son format, et son emplacement) fait référence à la RFC 9116 de l’IETF.

Contexte :

Lorsqu’une vulnérabilité est détectée sur un site web par un chercheur en sécurité, pentesteur, ou n’importe qui, cette personne doit pouvoir contacter le responsable du site web pour lui signaler (cela devrait l’une des premières actions).

Le contact identifié dans un bas de page web, ou le formulaire contact mène parfois vers un service externalisé, un service comm qui peuvent n’avoir grand chose à faire du signalement d’une vulnérabilité (parfois). Alors l’alerte sur une vulnérabilité tombe aux oubliettes avant qu’elle ne soit exploitée par une autre personne mal intentionnée.

Solution :

La mise en œuvre de ce fichier security.txt doit permettre de contacter les bonnes personnes pour le signalement d’une vulnérabilité du site web. Pour cela, le fichier doit être déposé dans un répertoire précis, sous un nom précis, avec un contenu de fichier standardisé.

La source de cet article est disponible ici : https://securitytxt.org/ ainsi que le formulaire pour générer le fichier txt 😉

Où mettre ce fichier ? dans un répertoire nommé .well-know à la racine du site web, le fichier lui-même s’appelera security.txt

Les informations à mentionner dans ce fichier sont à minima :

  • Contact : un email,
  • Expires : la date d'expiration des informations contenues dans le fichier, date au format ISO 8601 (exemple : 2023-12-31T18:37:07.000Z )

En option, les informations peuvent être ajoutées (tous les liens seront en HTTPS) :

  • Encryption : l'url d'une clé de chiffrement destinée au chiffrement de la communication entre le découvrir et le responsable (par exemple, un fichier PGP)
  • Acknowledgements : l'url d'une page de remerciement/reconnaissance du signalement
  • Preferred-Languages : la langue préférée pour l'échange d'information
  • Canonical : l'url du fichier security.txt
  • Policy : l'url de politique de disclosure de l'entreprise pour appréhender les pratiques de reporting attendues par l'entreprise,
  • Hiring : un dernier lien sur les postes ouverts au recrutement dans le domaine de la cybersécurité.

A nouveau, le lien https://securitytxt.org/ est idéal car à jour des dernières évolution de la RFC, et surtout possède un formulaire qu’il suffit de compléter pour générer le fichier.

Vous voulez identifier si un site web contient ce fichier ? Soit par le navigateur, soit avec cette url : https://gotsecuritytxt.com en spécifiant le domaine requêté :

Et bien sûr, assurez-vous que le contact soit une mailing list ou une personne qui soit en mesure de répondre rapidement et traiter la vulnérabilité.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *