security.txt : une proposition de standard pour vos politiques de sécurité

L'Internet Engineering Task Force a récemment publiée une proposition de standard visant l’accessibilité aux politiques de sécurité des sites internet. L'idée est de proposer une solution commune de mise en relation entre chercheurs en sécurité informatique et propriétaire de sites internet. Lorsqu’une vulnérabilité est détectée, le fichier security.txt donnera toutes les informations nécessaires pour contacter le propriétaire du site vulnérable.

Voici les informations que vous pouvez fournir :

  • Un lien vers une page de contact, un numéro de téléphone ou une adresse e-mail. (obligatoire et cumulables)
  • Un lien vers votre clé GPG publique (optionnel)
  • Un lien vers une page de remerciements pour les éventuels chercheurs vous ayant aidé dans la sécurisation de votre site internet. (optionnel)
  • Une liste des langages préférés pour vous contacter (optionnel)
  • l'URL canonique de votre fichier security.txt (optionnel mais fortement recommandé si vous signez votre fichier)
  • Un lien vers une page indiquant ce que les chercheurs doivent faire en cas de découverte d'une vulnérabilité. (optionnel)
  • Un lien vers vos offres d'emplois concernant la sécurité. (optionnel)

Dans le cas d'un lien redirigeant vers une page, il est obligatoire qu'il débute par "https://". Les adresses e-mail et les numéros de téléphone doivent débuter par "mailto:" et "tel:" respectivement.

L'IETF propose un formulaire vous permettant de générer votre fichier sécurity.txt à l'adresse securitytxt.org.

Une fois votre fichier security.txt généré à l'aide du formulaire, vous pouvez devez le signer avec votre clé privée GPG grâce à la commande suivante :

gpg --clearsign security.txt

Cela aura pour effet de signer votre fichier afin que les chercheurs puissent s'assurer de son authenticité.

Pensez également à faire signer votre clé GPG par vos amis.

Lorsque votre fichier security.txt est généré et signé, placez-le dans le répertoire /.well-know/ (https://website.tld/.well-know/security.txt) de votre site internet. L'IETF indique qu'il est possible de placer votre fichier directement à la racine de votre site internet si le dossier /.well-know/ est inutilisable pour des raisons techniques ou simplement à des fins de redondance.

Notez que le fichier doit être de type MIME text/plain et être distribué à travers le protocole HTTPS.

À titre d'exemple voici le contenu de mon fichier security.txt pour mon site personnel hugoleroux.ovh

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

Contact: mailto:hugo.leroux@protonmail.com
Encryption: https://hugoleroux.ovh/hleroux.pub.txt
Preferred-Languages: fr, en
Canonical: https://hugoleroux.ovh/.well-know/security.txt
-----BEGIN PGP SIGNATURE-----

iQEzBAEBCAAdFiEE2VdetLeX+6YC4DI5PqJgpPDuG8wFAl7DygkACgkQPqJgpPDu
G8xuCggAu2Xi53U82SZlu5NZpVQNT3UqSK1cpkArLla4izgC4PFXziQEJ8nS8Q89
U9xGDA8TVuno3yHEHQI/MRD0imnPg84UWH0K+SVXGwjV/USzGIwwt1JBTbVYi3Gr
k4sxeunvR3tAXBih2jm9o4Tfx4yXSEmvSdEqoh9mR9ZnHmTXVaTMhNeg3o97zeNm
qzfygoDv+1sryInlAsjV7JS9Z+Xd0TsdKd1uxDxeSeY2N27vLMLt2/x2+f5e7jb0
EOaev/TNDxjKuObEjY3I3CxX4+x29MyTwecRHphiD5AWKt2EsqjmfLH7zzHy/Ym1
CZA01iXJid2hmtBdSt/mJefCnzUYdg==
=2+sh
-----END PGP SIGNATURE-----