security.txt, pour simplifier la notification d’une faille de sécurité à une organisation

de | 15 janvier 2018

Le fichier robot.txt situé à la racine d’un site web, et désigné en français par protocole d’exclusion des robots, est devenu le standard destiné à conditionner le référencement des pages du site web sur lequel le fichier a été mis en place. J’ai identifié une initiative intéressante, basée sur le principe de robot.txt, qui permet de proposer à tout internaute les informations nécessaires à la remontée d’une faille de sécurité qui concerne le site web d’une organisation.

L’initiative se base sur la mise en place d’un fichier security.txt a la racine d’un site web et qui contient les informations suivantes :

  • Les informations de contact de l’organisation qui peuvent être : une adresse mail, un numéro de téléphone ou encore un lien vers une page contenant un formulaire spécifique
  • Un lien vers une page qui contient la clé publique de chiffrement de l’organisation qui permet à la personne qui notifie la faille de sécurité de sécuriser le message qu’elle transmet à l’organisation concernée
  • Un lien vers une page qui contient la liste des personnes qui ont découvert des failles de sécurité sur le site de l’organisation (hall of fame)
  • Un lien vers une page qui contient la démarche de divulgation de la faille de sécurité de l’organisation, ceci permet de fixer des délais pour la communication, par exemple au public, d’une faille qui concerne une organisation et qui laisse à cette dernière le temps de la corriger
  • Un lien vers une page qui contient la signature numérique de la page security.txt afin de s’assurer de son intégrité

Le standard, sous la forme d’une RFC, a été soumis aux deux principales organisations en charge de la normalisation et de standardisation des composantes techniques d’Internet à savoir l’Internet Engineering Task Force (IETF) et l’Internet Society (ISOC),

Une initiative qui permet d’afficher la prise en compte de la cyber sécurité d’une organisation dans ses processus. Elle pourrait même être un facteur de rating qu’un moteur de recherche, comme google, peut prendre en compte dans son classement des résultats au même titre que l’utilisation du référencement du site, les liens entrants et sortants, etc.

Par ailleurs, le site qui promeut l’utilisation de cette approche met à disposition des organisations un formulaire qui permet de générer automatiquement le fichier security.txt.

Le lien : https://securitytxt.org/

A suivre.

2 réflexions au sujet de « security.txt, pour simplifier la notification d’une faille de sécurité à une organisation »

  1. Ping : security.txt, pour simplifier la notification d’une faille de sécurité à une organisation | Cybercriminalité

  2. Ping : Veille Cyber N165 – 22 janvier 2018 |

Les commentaires sont fermés.