Signalement des vulnérabilités

Traiter les vulnérabilités potentielles dans tous les aspects de nos services cloud

Amazon Web Services attache une grande importance à la sécurité, et enquête sur toutes les vulnérabilités signalées. Cette page explique comment nous répondons aux vulnérabilités potentielles détectées à tous les niveaux de nos services de cloud.

Signalement de vulnérabilités suspectées

  • Amazon Web Services (AWS) : si vous souhaitez signaler une vulnérabilité ou avoir un problème de sécurité concernant les services cloud AWS ou des projets open source, veuillez soumettre l'information en contactant aws-security@amazon.com. Si vous souhaitez protéger le contenu de votre envoi, vous pouvez éventuellement utiliser notre clé PGP.
  • Site de vente Amazon.com : si vous avez la moindre inquiétude concernant la sécurité du site de vente Amazon.com, de Seller Central ou d'Amazon Payments, ou si vous souhaitez nous faire part d'autres problèmes liés à la sécurité comme des commandes suspectes, des frais prélevés par erreur sur une carte de crédit, des e-mails suspects ou des vulnérabilités que vous souhaiteriez signaler, rendez-vous sur notre page Web Security for Retail.
  • Politique de service client AWS pour la réalisation de tests de pénétration : les clients AWS ont la possibilité de réaliser des évaluations de la sécurité ou des tests de pénétration de leur infrastructure AWS, sans approbation préalable pour les services indiqués. La demande d'autorisation pour d'autres événements simulés doit être soumise via le formulaire des événements simulés. Pour les clients opérant dans la région AWS China (Ningxia & Beijing), veuillez utiliser ce formulaire d'événements simulés.
  • Abus AWS : si vous soupçonnez que des ressources AWS (par exemple, une instance EC2 ou un compartiment S3) sont utilisées pour une activité suspecte, vous pouvez le signaler à l'équipe AWS Abuse au moyen du formulaire de signalement d'un abus Amazon AWS ou en contactant abuse@amazonaws.com.
  • Informations de conformité AWS : un accès aux rapports de conformité AWS est disponible via AWS Artifact. Si vous avez d'autres questions en lien avec la conformité AWS, contactez l'équipe via leur formulaire de traitement.

Afin que nous puissions répondre efficacement à votre signalement, merci de fournir les éventuels compléments d'information (code de démonstration de faisabilité, sortie de l'outil, etc.) qui pourraient nous aider à comprendre la nature et la gravité de la vulnérabilité.

Les informations que vous partagez avec AWS dans le cadre de ce processus sont gardées comme confidentielles dans AWS. AWS ne partagera ces informations avec un tiers que s'il s'avère que la vulnérabilité que vous signalez affecte un produit tiers, auquel cas nous partagerons ces informations avec l'auteur ou le fabricant du produit tiers. Sinon, AWS ne partagera ces informations que si vous en donnez l'autorisation.

AWS examinera le rapport de signalement soumis et lui attribuera un numéro de suivi. Nous vous répondrons ensuite, afin d'accuser réception de votre signalement et de vous détailler les prochaines étapes du processus.

Étendue

Les activités suivantes sortent du cadre du programme de signalement des vulnérabilités d'AWS. La réalisation de l'une des activités ci-dessous entraînera la disqualification permanente du programme.

  • Le ciblage de ressources de clients AWS ou sites non AWS hébergés sur notre infrastructure
  • Toute vulnérabilité obtenue par la compromission des comptes des clients ou des employés AWS
  • Toute attaque par déni de service (DoS) contre les produits AWS ou les clients AWS
  • Les attaques physiques contre les employés, les bureaux et les centres de données AWS
  • L'ingénierie sociale des employés, des entrepreneurs, des fournisseurs ou des prestataires de services AWS
  • Le fait de poster, de transmettre, de télécharger, de créer un lien ou d'envoyer des logiciels malveillants en connaissance de cause
  • Le fait d'entretenir les vulnérabilités qui envoient des messages de masse non sollicités (spam)

SLA pour évaluation par AWS

AWS s'engage à vous répondre rapidement et à vous tenir au courant du traitement de votre demande. Vous recevrez une réponse non automatique confirmant la réception de votre rapport initial dans les 24 heures, des mises à jour en temps voulu et des contrôles mensuels tout au long de l'engagement. À tout moment, vous pouvez demander des mises à jour et restons ouverts à tout dialogue pour clarifier toute préoccupation ou tout problème lié à la coordination des divulgations.

Notification publique

Le cas échéant, AWS coordonnera avec vous la notification publique de toute vulnérabilité validée. Dans la mesure du possible, nous préférons que nos communications publiques respectives soient publiées simultanément.

Afin de protéger ses clients, AWS vous demande de ne pas publier ou partager d'informations concernant une vulnérabilité potentielle de manière publique tant que nous n'avons pas examiné la vulnérabilité signalée et que nous n'y avons pas répondu, ni traité le problème et informé nos clients, si nécessaire. De plus, nous vous prions en toute déférence de ne pas publier ou partager des données appartenant à nos clients. La prise en compte d'une vulnérabilité signalée valide va prendre du temps, et le calendrier dépend de la gravité de la vulnérabilité et des systèmes concernés.

AWS effectue des notifications publiques sous la forme de bulletins de sécurité, qui sont publiés sur le site Web de sécurité AWS. Les particuliers, les entreprises et les équipes dédiées à la sécurité publient généralement leurs alertes sur leurs propres sites Web et autres forums. En fonction de la pertinence de ces alertes, nous pouvons inclure des liens vers ces ressources de tiers dans les bulletins de sécurité AWS.  

Sphère de sécurité

AWS estime que les recherches en matière de sécurité effectuées de bonne foi doivent être protégées par le principe de la sphère de sécurité (Safe Harbor). À des fins de protection pour les recherches en matière de sécurité et le signalement des vulnérabilités, AWS Security a adopté les termes fondamentaux de disclose.io, en particulier « Safe Harbor » et « Nos attentes ». Nous sommes impatients de travailler avec des chercheurs en sécurité qui partagent notre passion pour la protection des clients AWS.

En conséquence, nous considérons que les recherches sur la sécurité menées dans le cadre de cette politique sont les suivantes :

  • Autorisé en ce qui concerne les lois anti-piratage applicables, et nous ne prendrons pas d'initiative ou ne soutiendrons aucune action en justice contre vous pour des violations accidentelles de bonne foi de cette politique ;
  • Autorisé en ce qui concerne les lois anti-contournement pertinentes, et nous n'intenterons pas de poursuites contre vous pour contournement des contrôles technologiques ;
  • Exonéré des restrictions dans nos Conditions d'utilisation et/ou Politique d'utilisation acceptable qui interféreraient avec la réalisation de recherches en sécurité, et nous renonçons à ces restrictions de manière limitée ; et
  • Légalement, utile pour la sécurité globale d'Internet, et mené de bonne foi.

Il est attendu que vous respectiez toujours toutes les lois applicables. Si une action en justice est engagée par un tiers contre vous et que vous avez respecté cette politique, nous prendrons des mesures pour faire savoir que vos actions ont été menées conformément à cette politique.

Si vous avez des préoccupations à tout moment ou si vous n'êtes pas certain que vos recherches en sécurité sont conformes à cette politique, veuillez soumettre un rapport par l'un des canaux précédemment mentionnés sous « Signalement des vulnérabilités suspectées » avant d'aller plus loin.

Notez que le Safe Harbor s'applique uniquement aux revendications légales sous le contrôle de l'organisation participant à cette politique, et que cette politique ne lie pas les tiers indépendants.

En participant à notre programme de divulgation de vulnérabilités de bonne foi, nous vous demandons de :

  • Jouer selon les règles, y compris suivre cette politique et tout autre accord pertinent. En cas d'incohérence entre cette politique et d'autres conditions applicables, les termes de cette politique prévaudront;
  • Signaler promptement toute vulnérabilité que vous avez découverte ;
  • Éviter de violer la vie privée d'autrui, de perturber nos systèmes, de détruire des données et/ou de nuire à l'expérience utilisateur´;
  • Utiliser uniquement les canaux précédemment mentionnés pour discuter des informations sur les vulnérabilités avec nous ;
  • Nous accorder un délai raisonnable à partir du signalement initial pour résoudre le problème avant de le divulguer publiquement ;
  • Effectuer des tests uniquement sur des systèmes inclus dans le champ d'application, et respecter les systèmes et activités qui ne sont pas inclus dans le champ d'application ;
  • Si une vulnérabilité permet un accès non intentionnel à des données : limiter la quantité de données que vous accédez au minimum requis pour démontrer efficacement une preuve de concept; et cesser les tests et soumettre immédiatement un rapport si vous rencontrez des données utilisateur lors des tests, telles que des données d'identification personnelle (PII), des informations personnelles sur la santé (PHI), des données de carte de crédit ou des informations exclusives ;
  • Interagir uniquement avec des comptes de test que vous possédez ou avec l'autorisation explicite du titulaire du compte ; et
  • Ne pas se livrer à de l'extorsion.

Politique de divulgation

Une fois le rapport envoyé, AWS s'efforcera de valider la vulnérabilité signalée. Si des informations supplémentaires sont requises afin de valider ou de reproduire le problème, AWS travaillera en partenariat avec vous pour y parvenir. Une fois l'investigation initiale effectuée, les résultats vous seront transmis, ainsi qu'un plan de résolution et de discussion sur la communication publique.

Quelques remarques concernant le processus AWS :

  1. Produits tiers : de nombreux fournisseurs proposent des produits au sein du cloud AWS. Si la vulnérabilité détectée s'avère affecter un produit tiers, AWS en informera le propriétaire de la technologie concernée. AWS continuera de faire le lien entre vous et cette tierce partie. Votre identité ne sera en aucun cas divulguée à la tierce partie, sans votre autorisation préalable.
  2. Confirmation de l'absence de vulnérabilité : si le problème ne peut pas être confirmé ou ne s'avère pas provenir d'un produit AWS, nous vous le ferons savoir.
  3. Classification des vulnérabilités : AWS utilise la version 3.1 du système d'évaluation standardisé de la criticité des vulnérabilités ou CVSS (Common Vulnerability Scoring System) afin d'évaluer les vulnérabilités potentielles. La note obtenue aide à quantifier la gravité du problème et nous permet de hiérarchiser nos réponses. Pour plus d'informations sur le CVSS, référez-vous au site NVD.
Contactez un représentant commercial d'AWS
Vous avez des questions ? Contactez un représentant commercial d'AWS
Explorer les rôles de sécurité ?
Postulez dès aujourd'hui »
Vous voulez des mises à jour AWS Security ?
Suivez-nous sur Twitter »