add security policy

SECURITY.md

@@ -1,21 +1,12 @@
-# Security Policy
+# Security Policies and Procedures
 
-## Contact
-For any security concerns or vulnerabilities, please contact us at [[email protected]](mailto:[email protected]).
+Please check the link below and report vulnerabilities to: [email protected]
 
-## Encryption
-We use the following encryption methods:
-- [OpenPGP](https://keys.openpgp.org/vks/v1/by-fingerprint/48103904BA3365543B27BF28F92CCE0585A4AE8F)
-- [HTTPS](https://covoiturage.beta.gouv.fr/.well-known/security.asc)
+```
+   https://covoiturage.beta.gouv.fr/.well-known/security.asc
+   Key fingerprint: 4810 3904 BA33 6554 3B27  BF28 F92C CE05 85A4 AE8F
+```
 
-## Preferred Languages
-We support the following preferred languages for security communication:
-- French (fr)
-- English (en)
+## Politique de sécurité complète
 
-## Policy
-Our detailed security policy can be found at [https://covoiturage.beta.gouv.fr/.well-known/security-policy.txt](https://covoiturage.beta.gouv.fr/.well-known/security-policy.txt).
-
-## Acknowledgments
-We would like to acknowledge the following individuals for their contributions to our security:
-- [https://covoiturage.beta.gouv.fr/.well-known/security-acknowledgments.txt](https://covoiturage.beta.gouv.fr/.well-known/security-acknowledgments.txt)
+https://covoiturage.beta.gouv.fr/.well-known/security-policy.txt

api/proxy/src/public/.well-known/security.txt

@@ -2,7 +2,6 @@ Contact: mailto:[email protected]
 Expires: 2024-12-31T23:00:00.000Z
 Encryption: https://keys.openpgp.org/vks/v1/by-fingerprint/48103904BA3365543B27BF28F92CCE0585A4AE8F
 Encryption: https://covoiturage.beta.gouv.fr/.well-known/security.asc
-Acknowledgments: https://covoiturage.beta.gouv.fr/.well-known/security-acknowledgments.txt
 Preferred-Languages: fr, en
 Canonical: https://covoiturage.beta.gouv.fr/.well-known/security.txt
 Policy: https://covoiturage.beta.gouv.fr/.well-known/security-policy.txt

dashboard/src/.well-known/security.txt

@@ -5,4 +5,3 @@ Encryption: https://covoiturage.beta.gouv.fr/.well-known/security.asc
 Preferred-Languages: fr, en
 Canonical: https://app.covoiturage.beta.gouv.fr/.well-known/security.txt
 Policy: https://covoiturage.beta.gouv.fr/.well-known/security-policy.txt
-Acknowledgments: https://covoiturage.beta.gouv.fr/.well-known/security-acknowledgments.txt

public/public/.well-known/security-policy.txt

@@ -1 +1,138 @@
-coming soon...
+Registre de preuve de covoiturage (RPC)                    Décembre 2023
+Startup d'État du Ministère
+de la Transition Écologique et Solidaire
+https://covoiturage.beta.gouv.fr
+
+
+                         Politiques de sécurité
+                 et procédures de divulgation de failles
+
+Table des matières
+
+    1.  Introduction
+    2.  Signaler une faille
+        2.1.  Langue
+        2.2.  Version supportée
+        2.3.  Les failles qui nous intéressent
+        2.4.  Les failles qui ne nous intéressent pas
+    3.  Processus de divulgation et de correction
+    4.  Commentaires
+    5.  Remerciements
+    6.  Hall of Fame
+
+1.  Introduction
+
+   Ce document décrit les procédures de sécurité et les politiques
+   générales pour les différents projets de la Startup d'État
+   Covoiturage :
+
+      - Registre de preuve de covoiturage (frontend)
+      - Registre de preuve de covoiturage (backend)
+      - Observatoire du covoiturage
+      - Générateur d'attestations sur l'honneur
+      - site vitrine
+      - documentation publique et technique
+      - etc
+
+   L'équipe technique prend très à coeur la sécurité de ses utilisateurs
+   et de ses services. Nous apprécions grandement les efforts des
+   chercheurs en sécurité pour améliorer la sécurité de nos services.
+   Nous sommes prêts à travailler avec vous pour résoudre les problèmes
+   que vous découvrez, dans le respect de cette politique.
+
+2.  Signaler une faille
+
+   Merci de ne pas créer de ticket sur Github mais de nous contacter à
+   l'adresse ci-dessous en chiffrant votre message avec notre clé PGP.
+
+   [email protected]
+
+   https://covoiturage.beta.gouv.fr/.well-known/security.asc
+   Key fingerprint: 4810 3904 BA33 6554 3B27  BF28 F92C CE05 85A4 AE8F
+
+   L’équipe accusera réception de votre mail dans les 72 heures. Après
+   la réponse initiale à votre rapport, elle vous tiendra informé de la
+   progression vers une correction et une annonce complète, et pourra
+   vous demander des informations ou des conseils supplémentaires.
+
+2.1.   Langue
+
+   Vous pouvez nous contacter en français ou en anglais.
+
+2.2.   Version supportée
+
+   La version supportée est celle de la dernière release.
+   https://github.com/betagouv/preuve-covoiturage/releases
+
+2.3.   Les failles qui nous intéressent
+
+   Nous sommes intéressés par tout problème qui pourrait compromettre
+   l'intégrité ou la confidentialité des données de nos utilisateurs.
+   Cela inclut les failles de sécurité dans les applications web, les
+   applications mobiles, les API, les infrastructures, etc.
+
+   Voici quelques exemples de failles qui nous intéressent :
+
+      - Cross-site scripting (XSS)
+      - Cross-site request forgery (CSRF)
+      - Injection de code SQL
+      - Exécution de code à distance
+      - Escalade de privilèges sans autorisation
+      - Accès non autorisé aux données utilisateurs
+      - Accès non autorisé aux données (campagnes, trajets, etc)
+      - Accès non autorisé à tout document lié à la Startup d'État
+
+2.4.   Les failles qui ne nous intéressent pas
+
+   Nous pensons que les failles suivantes sont hors périmètre sauf si
+   vous considérez qu'elle peut faire l'objet d'une exception :
+
+      - Header HTTP manquant
+      - SPF/DKIM/DMARC manquant ou incomplet
+      - Rapports d'outils automatisés ou scans de vulnérabilités
+      - Attaques sans preuves d'exploitation
+      - Attaques par déni de service
+      - Attaques par force brute
+      - Social Engineering
+      - Attaques physiques
+      - Attaques par phishing
+      - Attaques par clickjacking
+      - Attaques par sniffing
+      - Attaques par MITM
+      - Attaques physiques
+      - DNSSEC
+
+3.  Processus de divulgation et de correction
+
+   Lorsque l’équipe reçoit un rapport sur une faille de sécurité, elle
+   procède aux étapes suivantes :
+
+      - Confirmer le problème et déterminer les versions affectées.
+      - Vérifier le code pour trouver tout problème similaire potentiel.
+      - Informer les instances concernées qu'une faille est en cours de
+        résolution
+      - Préparer les correctifs et les déployer en production
+      - Communiquer aux différentes instances concernées que le
+        correctif est déployé
+
+4.  Commentaires
+
+    Si vous avez des retours ou des suggestions sur la façon dont ce
+    processus pourrait être amélioré, merci de nous contacter :
+
+    [email protected]
+
+5.  Remerciements
+
+    Merci à tous les chercheurs en sécurité qui ont contribué à
+    l'amélioration de la sécurité de nos services.
+
+    La structure et le contenu de ce document sont basés sur les
+    politiques de sécurité publiées par Démarches-Simplifiées, Carte
+    Verte de l'ADEME, Chatwoot.io, et d'autres.
+
+    [RFC9116]   https://www.rfc-editor.org/rfc/rfc9116
+
+    https://securitytxt.org/
+
+6.  Hall of Fame

public/public/.well-known/security.txt

@@ -2,7 +2,6 @@ Contact: mailto:[email protected]
 Expires: 2024-12-31T23:00:00.000Z
 Encryption: https://keys.openpgp.org/vks/v1/by-fingerprint/48103904BA3365543B27BF28F92CCE0585A4AE8F
 Encryption: https://covoiturage.beta.gouv.fr/.well-known/security.asc
-Acknowledgments: https://covoiturage.beta.gouv.fr/.well-known/security-acknowledgments.txt
 Preferred-Languages: fr, en
 Canonical: https://covoiturage.beta.gouv.fr/.well-known/security.txt
 Policy: https://covoiturage.beta.gouv.fr/.well-known/security-policy.txt