Security.txt

Intro Pourquoi ? Utilisation Pour aller plus loin

Security.txt : un fichier pour les vulnéraiblités ?

Security.txt est une norme informatique (RFC9116) qui standardise le signalement des vulnérabilités informatiques, pour facilite le travail des chercheurs en sécurité informatique.

Capture d'écran de https://securitytxt.org/

Security.txt : le signalement des vulnéraiblités de façon facile ?

Security.txt est une norme informatique proposée publiée en 2022 (RFC9116). Il normalise la création d'un fichier sur un serveur web, présent à /.well-known/security.txt qui permet d'indiquer où signaler une vulnérabilité informatique.

Pourquoi ?

Les chercheurs ayant publié cette norme (E. Foundil et Y. Shafranovich) indiquent qu'il est fréquent pour des professionnels de la sécurité de trouver une faille (permettant par exemple d'exécuter du code sur l'ordinateur à distance) mais de ne pas savoir comment la signaler au propriétaire de la solution. Les vulnérabilités soit ainsi mal signalées, prennent plus de temps pour être fixées, ou peuvent ne pas être signalées du tout.

La norme

  • Contact: METHOD
    • Remplacez METHOD par le moyen de contact auquel vous souhaitez que les chercheurs vous contactent. (Exemples: mailto:security@example.org tel:+330102030405 https://example.org/vulnerability)
  • Canonical: URL
    • Remplacez URL avec le lien du fichier security.txt. Le chercheur vérifiera qu'il s'agit bien du bon fichier qu'il voit.
  • Acknowledgments: URL
    • Remplacez URL par un lien qui contient tout ce que les chercheurs informatique doivent savoir
  • Expires: TIMESTAMP
    • Remplacez TIMESTAMP par la date auquelle ce fichier expire (le fuseau horaire est celui UTC). Il est recommandé que ça soit moins d'un an. Exemples : 2025-04-01T00:00:00z 2025-10-25T23:59:59z
  • Hiring: URL
    • Remplacez URL avec une page web disant où est-ce que vous recrutez des professionnels de la sécurité informatique
  • Policy: URL
    • Remplacez URL par un lien avec les règles concernant le signalement
  • Preferred-Languages: LANGS
    • Remplacez LANGS par une liste de langues dans lesquelles vous pouvez vous exprimer. Exemple: Preferred-Languages: fr, en
  • Encryption: URL
    • Avancé. Remplacez URL par un lien vers votre clé publique OpenPGP

Pour aller plus loin

Vous pouvz visiter le site web de la norme ou la référence RFC 9116.