Amazon Web Services attache une grande importance à la sécurité, et enquête sur toutes les vulnérabilités signalées. Cette page explique comment nous répondons aux vulnérabilités potentielles détectées à tous les niveaux de nos services de cloud.

  • Site de vente Amazon.com – Si vous avez la moindre inquiétude concernant la sécurité du site de vente Amazon.com, de Seller Central ou d'Amazon Payments, ou si vous souhaitez nous faire part d'autres problèmes liés à la sécurité comme des commandes suspectes, des frais prélevés par erreur sur une carte de crédit, des e-mails suspects ou des vulnérabilités que vous souhaiteriez signaler, rendez-vous sur https://amazon.com/security
  • Amazon Web Services (AWS) – Si vous avez la moindre inquiétude concernant la sécurité des services de cloud computing d'AWS tels qu'EC2, S3, CloudFront ou RDS, ou si vous souhaitez signaler une vulnérabilité, envoyez un message à aws-security@amazon.com. Si vous souhaitez protéger vos e-mails, vous pouvez utiliser le logiciel de chiffrement PGP ; notre clé est disponible ici.

Si vous soupçonnez que des ressources AWS (par exemple, une instance EC2 ou un bucket (compartiment) S3) sont utilisées pour une activité suspecte, vous pouvez le signaler à l'équipe AWS chargée de la lutte contre les abus ici.

Afin que nous puissions répondre efficacement à votre signalement, merci de fournir les éventuels compléments d'information (code de démonstration de faisabilité, sortie de l'outil, etc.) qui pourraient nous aider à comprendre la nature et la gravité de la vulnérabilité.

Les informations que vous partagez avec AWS dans le cadre de ce processus sont gardées comme confidentielles dans AWS. Elles ne seront pas partagées avec des tiers sans votre autorisation.

AWS examinera le rapport de signalement soumis et lui attribuera un numéro de suivi. Nous vous répondrons ensuite, afin d'accusé réception de votre signalement et de vous présenter les prochaines étapes du processus.

Une fois le rapport envoyé, AWS s'efforcera de valider la vulnérabilité signalée. Si des informations supplémentaires sont requises afin de valider ou de reproduire le problème, AWS travaillera en partenariat avec vous pour y parvenir. Une fois l'examen initial effectué, les résultats vous seront transmis, ainsi qu'un plan de résolution et de communication publique.

Quelques remarques concernant le processus d'évaluation d'AWS :

  • Produits tiers. De nombreux fournisseurs proposent des produits au sein du cloud AWS. Si la vulnérabilité détectée s'avère affecter un produit tiers, AWS en informera l'auteur du logiciel concerné. AWS continuera de faire le lien entre vous et cette tierce partie. Votre identité ne sera en aucun cas divulguée à la tierce partie, sans votre autorisation préalable.
  • Confirmation de l'absence de vulnérabilité. Si le problème ne peut pas être confirmé ou ne s'avère pas être une faille d'un produit AWS, nous vous le ferons savoir.
  • Classification des vulnérabilités. AWS utilise la version 2.0 du système d'évaluation standardisé de la criticité des vulnérabilités ou CVSS (Common Vulnerability Scoring System) afin d'évaluer les vulnérabilités potentielles. La note obtenue aide à quantifier la gravité du problème et nous permet de hiérarchiser nos réponses. Pour en savoir plus sur le système CVSS, consultez le communiqué CVSS-SIG.

AWS s'engage à être réactif et à vous tenir informé de l'évolution de votre demande à mesure que nous l'étudions et/ou que nous travaillons à atténuer les problèmes de sécurité que vous signalez. Vous recevrez, sous 24 heures après votre première prise de contact, une réponse non automatisée confirmant la réception de votre signalement de vulnérabilités. Nous vous enverrons des mises à jour faisant état de l'avancement au moins tous les cinq jours ouvrables.

Le cas échéant, AWS coordonnera avec vous la notification publique d'une vulnérabilité validée. Dans la mesure du possible, nous préférons que nos communications publiques respectives soient publiées simultanément.

Afin de protéger ses clients, AWS vous demande de ne pas publier ou partager d'informations concernant une vulnérabilité potentielle de manière publique tant que nous n'avons pas examiné la vulnérabilité signalée et que nous n'y avons pas répondu, ni traité le problème et informé nos clients, si nécessaire. De plus, nous vous prions en toute déférence de ne pas publier ou partager des données appartenant à nos clients. Répondre à une vulnérabilité valide signalée prend du temps. Cela dépend de la gravité de la vulnérabilité et des systèmes concernés.

Les notifications publiques d'AWS prennent la forme de bulletins de sécurité, qui sont publiés dans le Centre de sécurité AWS. Les particuliers, les entreprises et les équipes dédiées à la sécurité publient généralement leurs alertes sur leurs propres sites Web et autres forums. En fonction de la pertinence de ces alertes, nous pouvons inclure des liens vers ces ressources de tiers dans les bulletins de sécurité AWS.

 

Contactez-nous