Sécurité

Découvrez un bogue, obtenez la prime.

Jouez un rôle essentiel en nous faisant part de tout problème de sécurité crucial que vous pourriez trouver en utilisant Matomo. Vous pouvez le faire en prenant part au programme Matomo Security Bug Bounty. Ce programme est conçu pour encourager la recherche sur la sécurité du logiciel Matomo et pour récompenser ceux qui contribuent à créer la plateforme d’analyse Web la plus sûre possible.

La prime pour les bogues de sécurité critiques validés est de 10 000 $ (US) en espèces.

Un problème critique dans Matomo signifie un problème dans notre dernière version officielle à l’adresse : https://builds.matomo.org/latest.zip telle qu’installée sur un serveur typique (et éventuellement en utilisant l’un de nos plugins officiels de Matomo ou d’InnoCraft depuis le Marketplace).

Si vous pouvez obtenir l’exécution de code à distance sur le serveur (c’est-à-dire RCE), ou si vous êtes en mesure de supprimer des données avec une requête HTTPS (c’est-à-dire SQL Injection), cela peut être considéré comme un problème critique. (Remarque : si une exécution de code à distance (RCE) n’est possible que lorsque vous êtes connecté en tant que super utilisateur, le problème sera qualifié de « élevé » et non de « critique »).
 
La prime pour les autres bogues de sécurité peut aller jusqu’à 1 000 $ (US), payés via PayPal ou via Hackerone.

Si vous pensez avoir découvert un problème de sécurité dans notre produit ou service, nous vous encourageons à nous en informer. Nous serons heureux de travailler avec vous pour résoudre le problème rapidement.

Politique de divulgation

  • Informez-nous dès que possible de la découverte d’un problème de sécurité potentiel et nous ferons tout notre possible pour le résoudre rapidement.
  • Donnez-nous un délai raisonnable pour résoudre le problème avant toute divulgation au public ou à un tiers.
  • Les problèmes de sécurité signalés doivent être originaux et n’avoir jamais été signalés auparavant
  • Faites un effort de bonne foi pour éviter les violations de la vie privée, la destruction de données et l’interruption ou la dégradation de notre service. N’interagissez qu’avec les comptes que vous possédez ou avec l’autorisation explicite du titulaire du compte.
  • N’exécutez pas d’outils automatisés sur des serveurs réels sans nous contacter au préalable. Si vous voulez tester Matomo, vous pouvez facilement mettre en place votre propre instance
  • Veuillez ne pas tester les formulaires de contact et les actions similaires qui envoient des e-mails
  • Veuillez ne pas vous inscrire pour plus d’un essai gratuit sur le Cloud InnoCraft.

Vulnérabilités hors du champ d’application

Les problèmes suivants sont hors du champ d’application de notre programme de récompenses :

  • Divulgation de chemin d’accès
  • Détournement de clics
  • Divulgation d’informations
  • Divulgation de version
  • Le agit comme le mot de passe de l’utilisateur et est utilisé pour s’authentifier dans les requêtes API (voir la FAQ).
  • Ouverture de la liste de l’annuaire
  • Problèmes en rapport avec le CORS sur l’un de nos sites Web .
  • Erreurs d’application sur les pages
  • Attaque de type « crime/beast » et absence d’en-têtes de sécurité HTTP (CSP, X-XSS, etc.)
  • Problèmes de sécurité résultant de l’exécution d’une instance Matomo sans HTTPS
  • Attaques par force brute, DoS, DDoS, hameçonnage, injection de texte ou ingénierie sociale.
  • Résultats de scans automatisés – veuillez vérifier manuellement les problèmes et inclure une preuve de concept valide
  • Balises de cookies manquantes sur les cookies non sensibles.
  • Les utilisateurs disposant de privilèges de super-utilisateur peuvent publier du JavaScript arbitraire
  • Vulnérabilités affectant les utilisateurs de navigateurs ou de plateformes obsolètes.
  • Problèmes liés aux fichiers accessibles en écriture dans le monde dans un environnement d’hébergement partagé
  • Conditions de course pour contourner les limites/quotas.
  • Falsification aveugle de requêtes côté serveur
  • En-têtes HSTS ou CSP
  • Enregistrements SPF, DMARC manquants
  • Vulnérabilités dues à une ancienne version de PHP, ou de MySQL (ou MariaDB), ou sur le serveur Web (Apache/Nginx), ou le système d’exploitation (Linux/Windows).
  • Vulnérabilités dues à la non-application des meilleures pratiques de sécurité de Matomo
  • Vulnérabilités dans des plugins tiers (non créés par Matomo ou InnoCraft)
  • Veuillez vous assurer que le fichier référencé existe également dans nos versions finales. Les vulnérabilités dans le code qui n’est pas inclus dans le zip d’installation de Matomo (comme les tests), sauf si elles affectent la version finale.
  • Le CLI est hors de portée (y compris les commandes de la console Matomo)

Veuillez soumettre tout problème de sécurité open source directement à nous, n’ouvrez pas les problèmes de sécurité sur les dépôts GitHub publics.

Merci de nous aider à assurer la sécurité de Matomo et de nos utilisateurs !

Comment signaler un problème de sécurité

Nous vous encourageons à signaler les problèmes de manière responsable via notre programme de prime de sécurité Matomo sur HackerOne (ou vous pouvez également nous envoyer un courriel à security@matomo.org)

Aidez-nous en fournissant autant de détails que possible sur votre environnement, la version de Matomo, les plugins utilisés (le cas échéant), et toute autre information pertinente.

La réponse d’un membre de l’équipe accusant réception de votre courriel sera généralement donnée dans les 24 heures. Si vous ne recevez pas de réponse, sachez que nous ne vous ignorons pas, il est fort possible que votre courriel n’ait pas franchi un filtre anti-spam.

Nous vous remercions de votre patience, comprenez que la correction de certains bogues prend du temps et que le processus peut impliquer un examen de la base de code pour détecter des problèmes similaires. La coordination entre les fuseaux horaires et les horaires de travail peut prendre beaucoup de temps, c’est pourquoi votre contribution et vos efforts à cet égard sont les bienvenus. Il est également crucial que nous puissions compter sur vous pour ne pas divulguer la vulnérabilité à qui que ce soit jusqu’à quelques jours après la publication de la version stable de Matomo, et après la publication de l’avis.

En guise de remerciement, votre nom sera crédité dans le Changelog et, le cas échéant, la prime de sécurité pour le bogue sera payée via PayPal. Merci de contribuer à rendre le monde des logiciels libres plus sûr.

La sécurité dans notre processus de développement

Les développeurs principaux sont tous engagés à atteindre le plus haut niveau de sécurité. Tout le code PHP de Matomo doit adhérer à la liste de contrôle de sécurité. Toutes les modifications apportées au dépôt Git de Matomo sont revues par au moins deux développeurs principaux.

Des revues de sécurité externes ont lieu régulièrement, et certaines d’entre elles ont apporté quelques suggestions de sécurité. Nous avons également effectué trois examens de sécurité payants (en 2010, 2012 et 2014) menés par les meilleurs chercheurs en sécurité de php.

Le projet Matomo utilise également un ensemble complet de tests et de tests Web automatisés qui s’exécutent après chaque changement de code sur les serveurs dans le cadre de son intégration continue et de son assurance qualité logicielle. Cela complète nos pratiques de développement logiciel telles que les révisions de code.

Nous tenons également à jour une liste de demandes d’amélioration de la sécurité.

Nous espérons que Matomo n’est pas vulnérable à des bogues de sécurité critiques et nous nous engageons à faire en sorte que cela reste le cas. Nous vous remercions pour votre soutien !

Améliorez la sécurité de votre serveur Matomo et définissez vos options de confidentialité

L’installation de Matomo et le suivi des visiteurs sont rapides et faciles, mais une fois que vous avez installé Matomo et commencé à recueillir des données sur les visiteurs dans votre base de données MySQL, vous pouvez être préoccupé par l’accès des autres à votre serveur. Comment pouvez-vous vous assurer qu’il est pratiquement impossible de pirater votre serveur, ou protéger les données de votre base de données contre l’accès par des tiers ?

Rendez votre serveur Matomo plus sûr

Il existe des mesures simples que vous pouvez prendre pour vous assurer que l’ajout de Matomo dans votre environnement logiciel existant (CMS, CRM, etc.) sera aussi sûr que possible.

Pour rendre votre serveur et votre base de données plus sûrs, consultez notre guide pas à pas : Sécuriser le serveur Matomo : étapes pour assurer la sécurité de Matomo

Confidentialité des données et des visiteurs

Matomo s’efforce de fournir d’excellentes fonctionnalités de confidentialité pour vous, l’utilisateur de Matomo, mais aussi pour les visiteurs suivis dans votre Matomo. Voir le document Matomo et la confidentialité des utilisateurs pour plus d’informations.

Annonces de sécurité

Veuillez vous abonner au Changelog pour être informé des nouvelles versions (y compris les versions de sécurité).

Retour à la page d'accueil