BugTraq in French

BugTraq-French

BugTraq-French est une Mailing liste francophone de type "full disclosure", dédiée à la discussion et l'annonce des vulnérabilités liées à la sécurité informatique : Description, Exploitation, et Sécurisation.

0 Administrivia

0.1 Charter
0.1.1 Qu'est ce que BugTraq-French?
0.1.2 Quel est le contenu approprié ?
0.1.3 Quel est le contenu inapproprié?
0.1.4 La liste est-elle modérée?
0.1.5 Qui est le modérateur?
0.1.6 Que signifie "Full Disclosure"?
0.1.7 Que signifie Security Through Obscurity?
0.1.8 Quel est le protocole adéquat pour publier une vulnérabilité?
0.1.9 Que doit comporter un rapport de vulnérabilité?
0.1.10 Vérifiez-vous les information postées sur la liste?

0.2 Historique
0.2.1 La liste BugTraq-French a été créée quand?
0.2.2 La liste BugTraq-French est-elle devenue modérée quand?

0.3 Gestion de la Liste
0.3.1 Comment s'inscrire?
0.3.2 Comment se désinscrire?
0.3.3 Comment suspendre temporairement la réception de messages?
0.3.4 La liste est-elle disponible dans un format sommaire (Digest)?
0.3.5 Comment s'inscrire au Digest?
0.3.6 Comment se désinscrire du Digest?
0.3.7 Je ne peux pas me désinscrire. Comment faire?

0 Administrivia
0.1 Charter
0.1.1 Qu'est ce que BugTraq?

0.1.2 Quel est le contenu approprié ?

Veuillez lire ci-dessous les directives et types d'informations autorisées sur la liste Bugtraq-French :

Information et failles de sécurité liées à l'informatique, ou les réseaux (UNIX, Windows NT, ou tout autre).
Exploits, scripts ou processus détaillé concernant les sujet ci-dessus.
Patches, solutions, ou fixes.
Annonces, advisories ou avertissements.
Idées ou projets liés à la sécurité informatique/réseau.
Informations concernant les procédures de contact avec les éditeurs.
Différentes expériences liées aux éditeurs et/ou organismes de sécurité .
Alertes, Incidents ou rapports d'informations.
Nouveaux outils de sécurité, ou mises a jour.

0.1.3 Quel est le contenu inapproprié ?

Annonces de produits commerciaux.
Questions basiques "Comment faire - How to".
Informations sans rapport avec la sécurité informatique/réseau.
Nouvelles versions de virus/trojan, sauf si ces derniers sont largement répandus.

0.1.4 La liste est-elle modérée?

Oui.

0.1.5 Qui est le modérateur?

Chaouki Bekrar <contrib@k-otik.com>.

0.1.6 Que signifie "Full Disclosure"?

Full Disclosure (Révélation Totale) est une philosophie de sécurité :

Un système véritablement sécurisé doit pouvoir résister à des audits à tous les niveaux (ex. protocole, code source, etc).
Les détails d'une vulnérabilité de sécurité doivent être disponible pour chacun.

Avantages :

Un grand nombre d'individus peuvent ainsi connaître les failles dans leurs systèmes .
Les éditeurs sont obligés de fournir les patchs et solutions rapidement.
Les programmeurs et les concepteurs de système peuvent apprendre à éviter ces erreurs.
Les utilisateurs peuvent identifier des vulnérabilités semblables sur des systèmes différents de l'original.

Inconvénients :

L'information est utilisée par des personnes constructives, mais également des personnes destructives.

0.1.7 Que signifie "Security Through Obscurity"?

Security Through Obscurity (Sécurité par l'obscurité) est une philosophie de sécurité :

Le système sera en sécurité, si les détails d'une vulnérabilité ne sont pas publiés.
Les détails d'une vulnérabilité doivent être exclusivement réservés aux éditeurs et à certains experts.

0.1.8 Quel est le protocole adéquat pour publier une vulnérabilité?

Le protocole adéquat pour la publication d'une vulnérabilité est le suivant :

Contacter l'éditeur du produit et lui laisser une semaine pour vous répondre. En cas de non réponse, publiez la vulnérabilité.
Si vous avez êtes en contact avec l'éditeur fournissez les informations appropriées afin de fixer la vulnérabilité. Cela dépendra de la vulnérabilité et du produit . En cas de non réponse, publiez la vulnérabilité.
Si l'éditeur a besoin d'une période plus large pour fixer la vulnérabilité, retardez la publication. En cas de non réponse, publiez la vulnérabilité.

Quand faut-il publier la vulnérabilité dans la liste sans contacter l'éditeur ?

Quand le produit n'est plus mis à jour par l'éditeur.
Quand une vulnérabilité non publique est largement exploitée par des attaquants, la communauté devra connaître cette faille de sécurité.

Nous considérons qu'il est toujours préférable d'informer la liste, au lieu de garder une information et/ou une faille de sécurité en non publique.

0.1.9 Que doit comporter un rapport de vulnérabilité?

La liste des applications/systèmes d'exploitation/etc vulnérables, avec les numéros de versions/patchs.
La liste des applications/systèmes d'exploitation/etc NON vulnérables, avec les numéros de versions/patchs.
Une discussion détaillée sur la vulnérabilité et l'environnement dans lequel elle a été découverte.
Une discussion détaillée sur la façon de reproduire la faille, ou un programme permettant son exploitation.
Une discussion détaillée sur les solutions, et les fixes.
Références et documents liés à la vulnérabilité.
Les informations concernant le découvreur de la vulnérabilité.

0.1.10 Vérifiez-vous les information postées sur la liste ?

Non. Le processus de modération BUGTRAQ-FRANCE ne signifie pas la vérification des vulnérabilités, patches, et exploits publiés sur la liste.

0.2 Historique
0.2.1 Quand BugTraq-French a-t-elle été créée ?

BugTraq-French a été créé Vendredi 5 Septembre, 2003. BugTraq-French est l'homologue franophone de la liste de sécurité BugTraq

BugTraq a été créé Vendredi 5 novembre 1993 par Scott Chasin. Aleph One a pris contrôle de BugTraq Mardi 14 mai de 1996. À travers les années BugTraq est devenue la liste de sécurité la plus reconnue.

0.2.2 Quand BugTraq-French est-elle devenue modérée ?

BugTraq-French est modérée depuis sa création.

BugTraq est modérée depuis le 5 Juin, 1995.

0.3 Gestion de la Liste
0.3.1 Comment s'inscrire?

Envoyer un e-mail à bugtraq-french-subscribe@securityfocus.com. Le contenu du message et le sujet ne sont pas importants. Vous recevrez par email une demande de confirmation message auquel vous devrez répondre.

0.3.2 Comment se désinscrire?

Envoyer un e-mail à bugtraq-french-unsubscribe@securityfocus.com à partir de votre adresse d'inscription. Le contenu du message et le sujet ne sont pas importants. Vous recevrez par email une demande de confirmation message auquel vous devrez répondre.

Si votre adresse email a changé envoyer un email à listadmin@securityfocus.com et demandez la désinscription manuelle.

0.3.3 Comment suspendre temporairement la réception de messages?

Désinscrivez-vous de la liste puis réinscrivez vous.

0.3.4 La liste est-elle disponible dans un format sommaire (Digest) ?

Oui.

0.3.5 Comment s'inscrire au Digest?

Envoyer un e-mail à bugtraq-french-digest-subscribe@securityfocus.com. Le contenu du message et le sujet ne sont pas importants. Vous recevrez par email une demande de confirmation message auquel vous devrez répondre.

0.3.6 Comment se désinscrire du Digest?

Envoyer un e-mail à bugtraq-french-digest-unsubscribe@securityfocus.com à partir de votre adresse d'inscription. Le contenu du message et le sujet ne sont pas importants. Vous recevrez par email une demande de confirmation message auquel vous devrez répondre.

Si votre adresse email a changé envoyer un email à listadmin@securityfocus.com et demandez la désinscription manuelle.