Sécurité

Si vous êtes venu ici pour obtenir de l’aide aux utilisateurs, veuillez envoyer toutes les questions non liées à un bogue de sécurité spécifique à users@global.libreoffice.org.

Les équipes de sécurité des produits associés au code source peuvent être contactées à l’adresse officesecurity@lists.freedesktop.org. Cette adresse inclut des représentants de nombreux fournisseurs et projets associés. Elle est exclusivement réservée au signalement des problèmes de sécurité liés au logiciel. Si votre antivirus signale un téléchargement de LibreOffice comme contenant un virus, il s’agit très probablement d’un faux positif. Veuillez vérifier auprès d’un autre éditeur d’antivirus et/ou signaler le problème avant de contacter la liste de diffusion dédiée à la sécurité. Nous vous recommandons également d’envisager l’achat d’un antivirus plus performant.

Veuillez inclure les informations suivantes dans votre rapport :

Dans quelle version avez-vous identifié le problème de sécurité spécifique ?
Si cela dépend de la plateforme, quelle plateforme utilisez-vous ?
Une preuve de concept si possible

Veuillez noter que les bogues qui provoquent le plantage de l’application, mais qui sont par ailleurs inexploitables, ne sont pas considérés comme des failles de sécurité, et les utilisateurs sont encouragés à diagnostiquer et à contribuer aux correctifs des versions récentes de LibreOffice de la manière habituelle.

Procédure de réponse aux incidents

Vous partagez en privé les détails de la faille de sécurité avec notre équipe de sécurité en envoyant un courriel à officesecurity@lists.freedesktop.org
Nous accusons réception de votre demande et vérifions la vulnérabilité. Notre première réponse vous parviendra généralement sous 48 heures.
Notre politique est de divulguer la vulnérabilité au public dans les 30 jours suivant la résolution du problème.
Les rapports seront cités dans les avis de sécurité, mais les rapporteurs peuvent rester anonymes s’ils le souhaitent.

Liste des avis de sécurité (en anglais).