os/doc
3
0
Fork 0
Code Issues Pull requests Projects Releases Wiki Activity
doc/fr/security/security.sgml
Marc Fonvieille 05716bf91d Use of the en/developers.sgml list instead of an outdated 
fr/developers.sgml one.
2007-03-09 18:12:43 +00:00

427 lines
17 KiB
Text
Raw Blame History

<!DOCTYPE HTML PUBLIC "-//FreeBSD//DTD HTML 4.01 Transitional-Based Extension//EN" [
<!ENTITY base CDATA "..">
<!ENTITY date "$FreeBSD: www/fr/security/security.sgml,v 1.7 2006/08/19 21:23:44 hrs Exp $">
<!ENTITY title "Informations sur la s&eacute;curit&eacute; sous FreeBSD">
<!ENTITY % navinclude.support "INCLUDE">
<!ENTITY % developers SYSTEM "../../en/developers.sgml"> %developers;
<!ENTITY advisories.html.inc SYSTEM "advisories.html.inc">
]>
<!-- $FreeBSD: www/fr/security/security.sgml,v 1.7 2006/08/19 21:23:44 hrs Exp $ -->
<!--
The FreeBSD French Documentation Project
Original revision: 1.185
Version francaise : Guillain
Relecture : Thomas Seyrat
Version francaise (mise a jour) : Stephane Legrand <stephane@freebsd-fr.org>
-->
<html>
&header;
<h2>Introduction</h2>
<p>Cette page web a &eacute;t&eacute; con&ccedil;ue afin
d'accompagner les utilisateurs, nouveaux venus ou
exp&eacute;riment&eacute;s, dans le domaine de la
s&eacute;curit&eacute; de FreeBSD. FreeBSD prend la
s&eacute;curit&eacute; tr&egrave;s au s&eacute;rieux et travaille
sans cesse pour rendre le syst&egrave;me d'exploitation aussi
s&ucirc;r que possible.</p>
<p>Vous trouverez ici des informations compl&eacute;mentaires, ou
des liens vers d'autres ressources, qui vous aideront &agrave;
prot&eacute;ger votre syst&egrave;me contre diff&eacute;rents
types d'attaques, sur qui contacter si vous trouvez une
&eacute;ventuelle faille, etc. Les programmeurs syst&egrave;mes
seront heureux de trouver une section traitant des techniques
&agrave; employer pour &eacute;viter avant toute chose de
cr&eacute;er soi-m&ecirc;me des failles.</p>
<h2>Table des Mati&egrave;res</h2>
<ul>
<li><a href="#how">Comment et o&ugrave; rapporter un
probl&egrave;me de s&eacute;curit&eacute; dans FreeBSD</a></li>
<li><a href="#sec">Informations sur l'officier de
s&eacute;curit&eacute; FreeBSD</a></li>
<li><a href="&enbase;/security/charter.html">Charte de l'officier
de s&eacute;curit&eacute; et de son &eacute;quipe</a></li>
<li><a href="#pol">Politique de gestion de l'information</a></li>
<li><a href="#adv">Avis de s&eacute;curit&eacute; FreeBSD</a></li>
<li><a
href="&enbase;/doc/&url.doc.langcode;/books/handbook/security-advisories.html">Lire
les avis de s&eacute;curit&eacute; FreeBSD</a></li>
</ul>
<a name="how"></a>
<p>Tout probl&egrave;me de s&eacute;curit&eacute; FreeBSD doit
&ecirc;tre rapport&eacute; &agrave; <a
href="mailto:secteam@FreeBSD.org">l'&eacute;quipe de
s&eacute;curit&eacute; FreeBSD</a> ou, si plus de
confidentialit&eacute; est n&eacute;cessaire, &agrave; <a
href="mailto:security-officer@FreeBSD.org">l'&eacute;quipe de
l'officier de s&eacute;curit&eacute;</a>. Chaque rapport devrait
contenir au moins:</p>
<ul>
<li>Une description de la vuln&eacute;rabilit&eacute;;</li>
<li>Quelles version de FreeBSD semblent affect&eacute;es si
possible;</li>
<li>Toute solution potentielle;</li>
<li>Un exemple de code si possible.</li>
</ul>
<p>Apr&egrave;s que cette information ait &eacute;t&eacute;
rapport&eacute;e, l'officier de s&eacute;curit&eacute; ou un
membre de l'&eacute;quipe de s&eacute;curit&eacute; reviendra
&agrave; vous.</p>
<a name=sec></a>
<h2>L'officier de s&eacute;curit&eacute; FreeBSD et l'equipe de
l'officier de S&eacute;curit&eacute;</h2>
<p>Pour mieux coordonner les &eacute;changes avec d'autres personnes
dans la communaut&eacute; de la s&eacute;curit&eacute;, FreeBSD a
une personne centrale pour toute communication li&eacute;e
&agrave; la s&eacute;curit&eacute;: l'officier de
s&eacute;curit&eacute; FreeBSD.</p>
<p>Si vous voulez contacter le projet FreeBSD &agrave; propos d'un
probl&egrave;me de s&eacute;curit&eacute; possible, vous devez
donc <a href="mailto:security-officer@FreeBSD.org">envoyez un
courrier &eacute;lectronique &agrave; l'officier de
s&eacute;curit&eacute;</a> avec une description de ce que vous
avez trouv&eacute; et le type de vuln&eacute;rabilit&eacute; qu'il
pr&eacute;sente.</p>
<p>Pour que le projet FreeBSD r&eacute;ponde plus rapidement aux
rapports de vuln&eacute;rabilit&eacute;, il y a quatre membres
derri&egrave;re l'alias courrier &eacute;lectronique de l'officier
de s&eacute;curit&eacute;: l'officier de s&eacute;curit&eacute;,
l'officier de s&eacute;curit&eacute; &eacute;m&eacute;rite,
l'officier de s&eacute;curit&eacute; adjoint, et un membre de
l'&eacute;quipe de base. En cons&eacute;quence, les messages
envoy&eacute;s &agrave; <a
href="mailto:security-officer@FreeBSD.org">&lt;security-officer@FreeBSD.org&gt;</a>
seront transmis &agrave;:</p>
<table>
<tr valign="top">
<td>&a.cperciva; <a
href="mailto:cperciva@FreeBSD.org">&lt;cperciva@FreeBSD.org&gt;</a></td>
<td>Officier de s&eacute;curit&eacute;</td>
</tr>
<tr valign="top">
<td>&a.nectar; <a
href="mailto:nectar@FreeBSD.org">&lt;nectar@FreeBSD.org&gt;</a></td>
<td>Officier de s&eacute;curit&eacute; &eacute;m&eacute;rite</td>
</tr>
<tr valign="top">
<td>&a.simon; <a
href="mailto:simon@FreeBSD.org">&lt;simon@FreeBSD.org&gt;</a></td>
<td>Officier de s&eacute;curit&eacute; adjoint</td>
</tr>
<tr valign="top">
<td>&a.rwatson; <a
href="mailto:rwatson@FreeBSD.org">&lt;rwatson@FreeBSD.org&gt;</a></td>
<td>Liaison avec l'&eacute;quipe de base FreeBSD, liaison avec
l'&eacute;quipe charg&eacute;e des versions,<br>
liaison avec le projet TrustedBSD, expert en architecture de
la s&eacute;curit&eacute; syst&egrave;me</td>
</tr>
</table>
<p>L'Officier de s&eacute;curit&eacute; est support&eacute; par <a
href="&enbase;/doc/en_US.ISO8859-1/articles/contributors/staff-listing.html#STAFF-SECTEAM">l'&eacute;quipe
de s&eacute;curit&eacute; FreeBSD</a> <a
href="mailto:secteam@FreeBSD.org">&lt;secteam@FreeBSD.org&gt;</a>,
un petit groupe de participants contr&ocirc;l&eacute; par
l'officier de s&eacute;curit&eacute;.</p>
<p>Veuillez utiliser la <a
href="ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/public_key.asc">cl&eacute;
PGP de l'officier de s&eacute;curit&eacute;</a> pour chiffrer vos
messages &agrave; l'officier de s&eacute;curit&eacute; si
appropri&eacute;.</p>
<a name="pol"></a>
<h2>Politiques de gestion de l'information</h2>
<p>En g&eacute;n&eacute;ral, l'officier de s&eacute;curit&eacute;
FreeBSD privil&eacute;gie la transparence totale sur les
vuln&eacute;rabilit&eacute;s apr&egrave;s un delai raisonnable
pour permettre d'analyser et de corriger une
vuln&eacute;rabilit&eacute;, ainsi que de tester de mani&egrave;re
appropri&eacute;e ce correctif, et de se coordonner avec les
autres parties affect&eacute;es.</p>
<p>L'officier de s&eacute;curit&eacute; <em>informera</em> un ou
plusieurs <a href="mailto:admins@FreeBSD.org">administrateurs du
cluster FreeBSD</a> de vuln&eacute;rabilit&eacute;s mettant les
ressources du projet FreeBSD en danger imm&eacute;diat.</p>
<p>L'officier de s&eacute;curit&eacute; peut contacter d'autres
d&eacute;veloppeurs FreeBSD ou des d&eacute;veloppeurs
ext&eacute;rieurs &agrave; propos d'une
vuln&eacute;rabilit&eacute; si leur expertise est
n&eacute;cessaire pour comprendre ou corriger le probl&egrave;me.
Une discr&eacute;tion appropri&eacute;e permettra de minimiser la
fuite d'information non n&eacute;cessaire sur la
vuln&eacute;rabilit&eacute; soumise, et tout expert
contact&eacute; devra suivre la politique de l'officier de
s&eacute;curit&eacute;. Dans le pass&eacute;, des experts ont
&eacute;t&eacute; contact&eacute;s &agrave; cause de leur
exp&eacute;rience importante sur des composants complexes du
syst&egrave;me d'exploitation, comme FFS, la m&eacute;moire
virtuelle, et la pile r&eacute;seau.</p>
<p>Si une nouvelle version de FreeBSD est en pr&eacute;paration, le
responsable de la sortie de nouvelles versions peut &ecirc;tre
inform&eacute; que la vuln&eacute;rabilit&eacute; existe, et de sa
s&eacute;v&eacute;rit&eacute;, pour que des d&eacute;cisions
soient prises sur le cycle de sortie des versions et sur les
bogues pr&eacute;sents dans une version sur le point de sortir.
Si ceci est demand&eacute;, l'officier de s&eacute;curit&eacute;
ne partagera pas la nature exacte de la
vuln&eacute;rabilit&eacute; avec le responsable de la sortie de
nouvelles versions, limitant ainsi les informations &agrave;
l'existence et la s&eacute;v&eacute;rit&eacute;.</p>
<p>L'officier de s&eacute;curit&eacute; travaille &eacute;troitement
avec de nombreuses autres organisations, comme des vendeurs
partageant du code avec FreeBSD (les projets OpenBSD, NetBSD et
DragonFlyBSD, Apple, et d'autres vendeurs utilisant des logiciels
de FreeBSD, ainsi que la liste s&eacute;curit&eacute; des vendeurs
Linux), ainsi que des organisations recensant les
vuln&eacute;rabilit&eacute;s et les incidents de
s&eacute;curit&eacute; comme le CERT. Souvent, les
vuln&eacute;rabilit&eacute;s s'&eacute;tendent au del&agrave; de
l'impl&eacute;mentation de FreeBSD, et (moins fr&eacute;quemment)
ont de larges implications sur la communaut&eacute; du
r&eacute;seau global. Dans de telles circonstances, l'officier de
s&eacute;curit&eacute; peut souhaiter divulguer cette information
&agrave; ces autres organisations : si vous ne voulez pas que
l'officier de s&eacute;curit&eacute; fasse ceci, veuillez
l'indiquer explicitement dans votre soumission.</p>
<p>La personne soumettant une vuln&eacute;rabilit&eacute; doit
veiller &agrave; mentionner explicitement toute gestion
sp&eacute;ciale de l'information.</p>
<p>Si la personne soumettant une vuln&eacute;rabilit&eacute est
interess&eacute;e par une divulgation coordonn&eacute;e avec elle
et/ou d'autres vendeurs, ceci doit &ecirc;tre indiqu&eacute;
explicitement dans la soumission. En l'absence de demande
explicite, l'officier de s&eacute;curit&eacute; FreeBSD choisira
un calendrier de divulgation qui refl&egrave;te &agrave; la fois
une divulgation rapide et des tests appropri&eacute;s de toute
solution. Il faut savoir que si la vuln&eacute;rabilit&eacute;
est r&eacute;v&eacute;l&eacute;e sur des forums publics (comme
bugtraq), et qu'elle est exploit&eacute;e, l'officier de
s&eacute;curit&eacute; peut choisir de ne pas suivre le calendrier
propos&eacute; pour prot&eacute;ger au maximum la
communaut&eacute; des utilisateurs.</p>
<p>Les soumissions peuvent &ecirc;tre prot&eacute;g&eacute;es avec
PGP. Si ceci est d&eacute;sir&eacute;, les r&eacute;ponses seront
&eacute;galement prot&eacute;g&eacute;es avec PGP.</p>
<a name=adv></a>
<h2>Avis de s&eacute;curit&eacute; FreeBSD</h2>
<p>L'officier de s&eacute;curit&eacute; FreeBSD publie des avis de
s&eacute;curit&eacute; pour diff&eacute;rentes branches de
FreeBSD. Celles-ci sont les <em>branches -STABLES</em> et les
<em>branches de s&eacute;curit&eacute;</em>. (les avis ne sont pas
publi&eacute;s pour la <em>branche -CURRENT</em>.)</p>
<ul>
<li><p>Il n'y a en g&eacute;n&eacute;ral qu'une branche -STABLE,
bien que durant la transition d'une ligne de
d&eacute;veloppement &agrave; une autre (comme de FreeBSD 4.X
&agrave; 5.X), il y a une p&eacute;riode durant laquelle il y a
2 branches -STABLE. Les &eacute;tiquettes des branches stables
ont des noms comme <tt>RELENG_4</tt>. Les compilations
correspondantes ont des noms comme <tt>FreeBSD
4.10-STABLE</tt>.</p></li>
<li><p>Chaque version de FreeBSD a une branche de
s&eacute;curit&eacute; associ&eacute;e. Les &eacute;tiquettes
des branches de s&eacute;curit&eacute; ont des noms comme
<tt>RELENG_4_10</tt>. Les compilations correspondantes ont des
noms comme <tt>FreeBSD 4.10-RELEASE-p5</tt>.</p></li>
</ul>
<p>Les probl&egrave;mes touchant le catalogue des logiciels
port&eacute;s FreeBSD sont couverts dans <a
href="http://vuxml.FreeBSD.org/">le document FreeBSD
VuXML</a>.</p>
<p>Chaque branche est support&eacute;e par l'officier de
s&eacute;curit&eacute; pour une dur&eacute;e limit&eacute;e, et a
un type parmi `<em>Premiers Utilisateurs</em>',
`<em>Normale</em>', ou `<em>Etendue</em>'. Ce type est
utilis&eacute; pour d&eacute;terminer la dur&eacute;e de vie de la
branche comme suit.</p>
<dl>
<dt>Premiers utilisateurs</dt>
<dd>Les versions publi&eacute;es &agrave; partir de la branche
-CURRENT seront support&eacute;es un minimum de 6 mois
apr&egrave;s leur sortie.</dd>
<dt>Normale</dt>
<dd>Les versions publi&eacute;es &agrave; partir de la branche
-STABLE seront support&eacute;es par l'officier de
s&eacute;curit&eacute; durant un minimum de 12 mois apr&egrave;s
leur sortie.</dd>
<dt>Etendue</dt>
<dd>Des versions choisies seront support&eacute;es par l'officier
de s&eacute;curit&eacute; durant un minimum de 24 mois apr&egrave;
leur sortie.</dd>
</dl>
<a name="supported-branches"></a>
<p>Le type et la dur&eacute;e de vie estim&eacute;e des branches
actuellement support&eacute;es sont donn&eacute;es ci-dessous. La
colonne <em>Fin de vie estim&eacute;e</em> donne la date minimale
lors de laquelle cette branche ne sera plus support&eacute;e.
Veuillez noter que ces dates peuvent &ecirc;tre &eacute;tendues
dans le futur, mais que seules des circonstances exeptionnelles
feraient que le support soit arr&ecirc;t&eacute; plus t&ocirc;t
que la date pr&eacute;vue.</p>
<!--
Please also update www/en/releng/index.sgml when updating this
list of supported branches.
-->
<table class="tblbasic">
<tr>
<th>Branche</th>
<th>Version</th>
<th>Type</th>
<th>Date de Sortie</th>
<th>Fin de vie estim&eacute;e</th>
</tr>
<tr>
<td>RELENG_4</td>
<td>n/a</td>
<td>n/a</td>
<td>n/a</td>
<td>31 Janvier 2007</td>
</tr>
<tr>
<td>RELENG_4_10</td>
<td>4.10-RELEASE</td>
<td>Etendue</td>
<td>27 Mai 2004</td>
<td>31 Mai 2006</td>
</tr>
<tr>
<td>RELENG_4_11</td>
<td>4.11-RELEASE</td>
<td>Etendue</td>
<td>25 Janvier 2005</td>
<td>31 Janvier 2007</td>
</tr>
<tr>
<td>RELENG_5</td>
<td>n/a</td>
<td>n/a</td>
<td>n/a</td>
<td>31 Mai 2008</td>
</tr>
<tr>
<td>RELENG_5_3</td>
<td>5.3-RELEASE</td>
<td>Etendue</td>
<td>6 Novembre 2004</td>
<td>31 Octobre 2006</td>
</tr>
<tr>
<td>RELENG_5_4</td>
<td>5.4-RELEASE</td>
<td>Normale</td>
<td>9 Mai 2005</td>
<td>31 Octobre 2006</td>
</tr>
<tr>
<td>RELENG_5_5</td>
<td>5.5-RELEASE</td>
<td>Etendue</td>
<td>25 Mai 2006</td>
<td>31 Mai 2008</td>
</tr>
<tr>
<td>RELENG_6</td>
<td>n/a</td>
<td>n/a</td>
<td>n/a</td>
<td>31 Mai 2008</td>
</tr>
<tr>
<td>RELENG_6_0</td>
<td>6.0-RELEASE</td>
<td>Normale</td>
<td>4 Novembre 2005</td>
<td>30 Novembre 2006</td>
</tr>
<tr>
<td>RELENG_6_1</td>
<td>6.1-RELEASE</td>
<td>Etendue</td>
<td>9 Mai 2006</td>
<td>31 Mai 2008</td>
</tr>
</table>
<p>Les versions plus anciennes ne sont plus maintenues et les
utilisateurs sont vivement incit&eacute;s &agrave; mettre leur
syst&egrave;me &agrave; jour vers une branche mentionn&eacute;e
ci-dessus.</p>
<p>Quelques statistiques sur les avis de s&eacute;curit&eacute;
&eacute;mis en 2002:</p>
<ul>
<li>44 avis de diff&eacute;rentes s&eacute;v&eacute;rit&eacute;s
ont &eacute;t&eacute; &eacute;mis pour le syst&egrave;me de
base.</li>
<li>12 avis ont d&eacute;crit des vuln&eacute;rabilit&eacute;s
concernant uniquement FreeBSD. Les 32 restants &eacute;taient des
probl&egrave;mes qui concernaient au moins un autre syst&egrave;me
d'exploitation (souvent parce que le code source &eacute;tait
commun).</li>
<li>6 notices de s&eacute;curit&eacute; ont &eacute;t&eacute;
publi&eacute;es, couvrant un total de 95 probl&egrave;mes dans les
applications tierces inclues dans le catalogue des logiciels
port&eacute;s.</li>
</ul>
<p>Les avis sont envoy&eacute;s aux listes de diffusion FreeBSD
suivantes:</p>
<ul>
<li>FreeBSD-security-notifications@FreeBSD.org</li>
<li>FreeBSD-security@FreeBSD.org</li>
<li>FreeBSD-announce@FreeBSD.org</li>
</ul>
<p>Les avis sont toujours sign&eacute;s avec la <a
href="ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/public_key.asc">cl&eacute;
PGP</a> de l'officier de s&eacute;curit&eacute; FreeBSD et sont
archiv&eacute;s, aux c&ocirc;t&eacute;s de leurs correctifs, sur
notre <a
href="ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/index.html">d&eacute;p&ocirc;t
FTP CERT</a>. A ce jour, les avis suivants sont disponibles
(notez que cette liste a peut-&ecirc;tre quelques jours de retard
- pour les tout derniers avis, veuillez consulter le <a
href="ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/advisories/">site
FTP</a>):</p>
&advisories.html.inc;
&footer;
</body>
</html>
Reference in a new issue View git blame Copy permalink