Signalement des vulnérabilités

Traiter les vulnérabilités potentielles dans tous les aspects de nos services cloud

Amazon Web Services attache une grande importance à la sécurité, et enquête sur toutes les vulnérabilités signalées. Cette page explique comment nous répondons aux vulnérabilités potentielles détectées à tous les niveaux de nos services de cloud.

Signalement de vulnérabilités suspectées

  • Amazon Web Services (AWS) : si vous souhaitez signaler une vulnérabilité ou si vous avez la moindre inquiétude concernant la sécurité d'AWS Cloud services ou de projets en open source, envoyez un message à aws-security@amazon.com. Si vous souhaitez protéger vos e-mails, vous pouvez utiliser notre clé PGP.
  • Stratégie du service clientèle AWS pour la réalisation de tests d'intrusion : les clients AWS ont la possibilité de réaliser des évaluations de la sécurité ou des tests d'intrusion de leur infrastructure AWS, sans approbation préalable pour les services indiqués. La demande d'autorisation pour d'autres événements simulés doit être soumise via le formulaire des événements simulés. Pour les clients exécutant leurs activités dans la région AWS Chine (Ningxia et Beijing), utilisez ce formulaire d'événements simulés.
  • Abus AWS : si vous soupçonnez que des ressources AWS (par exemple, une instance EC2 ou un compartiment S3) sont utilisées pour une activité suspecte, vous pouvez le signaler à l'équipe AWS Abuse au moyen du formulaire de signalement d'un abus AWS ou en contactant abuse@amazonaws.com.
  • Informations de conformité AWS : un accès aux rapports de conformité AWS est disponible via AWS Artifact. Si vous avez d'autres questions en lien avec la conformité AWS, contactez l'équipe via leur formulaire de traitement.
  • Site de vente Amazon.com : si vous avez la moindre inquiétude concernant la sécurité du site de vente Amazon.com, de Seller Central ou d'Amazon Payments, ou si vous souhaitez nous faire part d'autres problèmes liés à la sécurité comme des commandes suspectes, des frais prélevés par erreur sur une carte de crédit, des e-mails suspects ou des vulnérabilités que vous souhaiteriez signaler, rendez-vous sur notre page Web Security for Retail.

Afin que nous puissions répondre efficacement à votre signalement, merci de fournir les éventuels compléments d'information (code de démonstration de faisabilité, sortie de l'outil, etc.) qui pourraient nous aider à comprendre la nature et la gravité de la vulnérabilité.

Les informations que vous partagez avec AWS dans le cadre de ce processus sont gardées comme confidentielles dans AWS. AWS ne partagera ces informations avec un tiers que s'il s'avère que la vulnérabilité que vous signalez affecte un produit tiers, auquel cas nous partagerons ces informations avec l'auteur ou le fabricant du produit tiers. Sinon, AWS ne partagera ces informations que si vous en donnez l'autorisation.

AWS examinera le rapport de signalement soumis et lui attribuera un numéro de suivi. Nous vous répondrons ensuite, afin d'accuser réception de votre signalement et de vous détailler les prochaines étapes du processus.

SLA pour évaluation par AWS

AWS s'engage à être réactif et à vous tenir informé de l'évolution de votre demande à mesure que nous l'étudions et/ou que nous travaillons à atténuer les problèmes de sécurité que vous signalez. Vous recevrez, sous 24 heures après votre première prise de contact, une réponse non automatisée confirmant la réception de votre signalement de vulnérabilités. AWS vous enverra des mises à jour faisant état de l'avancement au moins tous les cinq jours ouvrables (aux États-Unis).

Notification publique

Le cas échéant, AWS coordonnera avec vous la notification publique de toute vulnérabilité validée. Dans la mesure du possible, nous préférons que nos communications publiques respectives soient publiées simultanément.

Afin de protéger ses clients, AWS vous demande de ne pas publier ou partager d'informations concernant une vulnérabilité potentielle de manière publique tant que nous n'avons pas examiné la vulnérabilité signalée et que nous n'y avons pas répondu, ni traité le problème et informé nos clients, si nécessaire. De plus, nous vous prions en toute déférence de ne pas publier ou partager des données appartenant à nos clients. La prise en compte d'une vulnérabilité signalée valide va prendre du temps, et le calendrier dépend de la gravité de la vulnérabilité et des systèmes concernés.

AWS effectue des notifications publiques sous la forme de bulletins de sécurité, qui sont publiés sur le site Web de sécurité AWS. Les particuliers, les entreprises et les équipes dédiées à la sécurité publient généralement leurs alertes sur leurs propres sites Web et autres forums. En fonction de la pertinence de ces alertes, nous pouvons inclure des liens vers ces ressources de tiers dans les bulletins de sécurité AWS.  

Sphère de sécurité

AWS estime que les recherches en matière de sécurité effectuées de bonne foi doivent être protégées par le principe de la sphère de sécurité (Safe Harbor). Nous avons adopté les Conditions principales de Disclose.io, soumis aux conditions ci-dessous, et nous nous réjouissons de travailler avec des chercheurs en sécurité qui partagent notre passion pour la protection des clients AWS.

Étendue

Les activités suivantes sortent du cadre du programme de signalement des vulnérabilités d'AWS. La réalisation de l'une des activités ci-dessous entraînera la disqualification permanente du programme.

  1. Le ciblage de ressources de clients AWS ou sites non AWS hébergés sur notre infrastructure
  2. Toute vulnérabilité obtenue par la compromission des comptes des clients ou des employés AWS
  3. Toute attaque par déni de service (DoS) contre les produits AWS ou les clients AWS
  4. Les attaques physiques contre les employés, les bureaux et les centres de données AWS
  5. L'ingénierie sociale des employés, des entrepreneurs, des fournisseurs ou des prestataires de services AWS
  6. Le fait de poster, de transmettre, de télécharger, de créer un lien ou d'envoyer des logiciels malveillants en connaissance de cause
  7. Entretenir les vulnérabilités qui envoient des messages de masse non sollicités (spam)

Politique de divulgation

Une fois le rapport envoyé, AWS s'efforcera de valider la vulnérabilité signalée. Si des informations supplémentaires sont requises afin de valider ou de reproduire le problème, AWS travaillera en partenariat avec vous pour y parvenir. Une fois l'investigation initiale effectuée, les résultats vous seront transmis, ainsi qu'un plan de résolution et de discussion sur la communication publique.

Quelques remarques concernant le processus AWS :

  1. Produits tiers : de nombreux fournisseurs proposent des produits au sein du cloud AWS. Si la vulnérabilité détectée s'avère affecter un produit tiers, AWS en informera le propriétaire de la technologie concernée. AWS continuera de faire le lien entre vous et cette tierce partie. Votre identité ne sera en aucun cas divulguée à la tierce partie, sans votre autorisation préalable.
  2. Confirmation de l'absence de vulnérabilité : si le problème ne peut pas être confirmé ou ne s'avère pas provenir d'un produit AWS, nous vous le ferons savoir.
  3. Classification des vulnérabilités : AWS utilise la version 3.1 du système d'évaluation standardisé de la criticité des vulnérabilités ou CVSS (Common Vulnerability Scoring System) afin d'évaluer les vulnérabilités potentielles. La note obtenue aide à quantifier la gravité du problème et nous permet de hiérarchiser nos réponses. Pour plus d'informations sur le CVSS, référez-vous au site NVD.
Contactez un représentant commercial d'AWS
Vous avez des questions ? Contacter un représentant commercial d'AWS
Explorer les rôles de sécurité ?
Postulez dès aujourd'hui »
Vous voulez des mises à jour AWS Security ?
Suivez-nous sur Twitter »