Catégories

Transparence et mises à jour de sécurité

Mises à jour de sécurité 2025

En 2025, nous nous sommes concentrés sur le renforcement de la sécurité des fichiers multimédias et la mise en place d'une gestion robuste des permissions dans notre système. Ces mises à jour garantissent un environnement plus sécurisé et contrôlé pour la gestion du contenu généré par les utilisateurs et des droits d'accès.

Principales améliorations de la sécurité en 2025

  • Sécurité améliorée des fichiers multimédias

    • Protocoles de suppression automatique : Nous avons amélioré les processus automatisés pour supprimer en toute sécurité les fichiers multimédias lorsqu'ils ne sont plus nécessaires ou après l'expiration de leur période de rétention. Cela garantit que les fichiers inutiles sont rapidement retirés de nos systèmes.
    • Suppression contrôlée par l'utilisateur : Nous avons donné aux utilisateurs un contrôle renforcé sur leurs fichiers multimédias, y compris l'option de les supprimer manuellement.
    • Surveillance renforcée : Nous avons amélioré la surveillance en temps réel des activités d'accès aux fichiers pour détecter et répondre à tout comportement suspect.

  • Amélioration des rôles et des permissions

    • Rôles et permissions des membres améliorés : Nous avons sécurisé et optimisé le système de permissions pour les gestionnaires d'équipe et de projet.
    • Journaux d'audit améliorés : Toutes les actions liées sont désormais enregistrées en détail, garantissant responsabilité et transparence.

  • Communication utilisateur renforcée pour les préoccupations de sécurité

    • “Une préoccupation ? Faites-nous-en part” : Cette section dédiée sur la page de sécurité permet aux utilisateurs de signaler facilement toute préoccupation, vulnérabilité ou feedback directement à notre équipe.

Mises à jour de sécurité 2024

En 2024, nous avons continué à renforcer la sécurité de notre plateforme en mettant en œuvre des mesures avancées pour garantir la sécurité, la confidentialité et la fiabilité de nos services. Voici un aperçu des principales améliorations de sécurité réalisées cette année :

Principales améliorations de la sécurité en 2024

  • Séparation des serveurs de bases de données pour une sécurité renforcée

    Pour protéger davantage les données des utilisateurs, nous avons séparé nos serveurs de bases de données des serveurs d'applications. Cela garantit une meilleure encapsulation de la sécurité en isolant les informations sensibles et en réduisant les risques d'accès non autorisés. La nouvelle architecture permet également un contrôle d'accès plus strict, réduisant la surface d'attaque et améliorant l'intégrité globale du système.

  • Intégration de Cloudflare pour une sécurité avancée

    Nous avons collaboré avec Cloudflare une plateforme de sécurité et de performance web de premier plan, pour offrir une couche supplémentaire de protection à nos services. Cette intégration offre :

    • Pare-feu d'application web (WAF) Bloque le trafic malveillant et protège contre des attaques courantes telles que l'injection SQL et le script intersite (XSS).
    • Protection contre les attaques DDoS : Protège notre plateforme contre les attaques par déni de service distribué, assurant un accès ininterrompu pour nos utilisateurs.
    • Connexions TLS sécurisées : Garantit une communication chiffrée entre nos serveurs et les utilisateurs, renforçant ainsi la confidentialité des données.
    • Réseau de diffusion de contenu global (CDN) : Améliore les performances du site en mettant en cache et en diffusant le contenu depuis les serveurs les plus proches des utilisateurs.

Incident de vulnérabilité en juin 2024

Le 11 juin nous avons identifié une potentielle vulnérabilité impliquant un sous-ensemble de captures d'écran stockées sur notre plateforme Bien qu'il n'y ait aucune preuve d'accès non autorisé ou de vol de données, ce problème a mis en évidence une opportunité de renforcer nos mesures de sécurité. Nous avons agi rapidement pour résoudre cette vulnérabilité et garantir la sécurité des données de nos utilisateurs.

Chronologie de l'incident

  • Vulnérabilité identifiée: 11 juin 2024

  • Divulgation initiale: 13 août 2024

  • CERT contacté: 9 octobre 2024

  • Vulnérabilité confirmée comme résolue par des chercheurs indépendants: 10 janvier 2025

Évaluation de l'impact

  • Type de données impliqué: Un sous-ensemble de captures d'écran téléchargées par les utilisateurs.

  • Nombre de clients potentiellement affectés: Environ 60.

  • Aucune preuve d'accès non autorisé: Nos enquêtes n'ont révélé aucun accès non autorisé, vol de données ou utilisation abusive liés à cette vulnérabilité.

Notre réponse

  • Collaboration avec Volodymyr 'Bob' Diachenko,, un chercheur en sécurité ayant signalé le problème de manière responsable.

  • CERT (Computer Emergency Response Team) contacté le 9 octobre 2024.

  • Mise en œuvre de mesures à court et à long terme pour résoudre le problème, notamment :

    • Sécurisation de l'accès aux captures d'écran concernées.

    • Renforcement de la configuration des buckets Amazon S3.

    • Examen approfondi de nos politiques de stockage et de sécurité des données.

Remerciements

Nous remercions Volodymyr 'Bob' Diachenko pour sa divulgation responsable et son aide dans le traitement de cette vulnérabilité. Son approche proactive a été précieuse pour garantir une résolution rapide du problème.

À venir

Nous avons pris des mesures pour renforcer nos pratiques de sécurité et prévenir de futures vulnérabilités :

  • Audit complet de la sécurité de nos systèmes.

  • Mise à jour des protocoles pour une gestion et un stockage des données sécurisés.

  • Amélioration des configurations des serveurs, des API et des bases de données.

Nous restons engagés à protéger les données de nos utilisateurs et à respecter les normes les plus élevées en matière de sécurité. Si vous avez des questions ou des préoccupations, veuillez les partager avec nous ici.

Mises à jour de sécurité 2023

En 2023, nous avons mis en œuvre plusieurs améliorations significatives pour renforcer la sécurité de notre plateforme et de nos services. Ces mesures garantissent une expérience plus robuste, sécurisée et fiable pour nos clients.

Principales améliorations de la sécurité en 2023

  • Certificats de signature de code améliorés

    Nous avons mis à niveau vers des certificats de signature de code avancés émis par DigiCert, une autorité de certification mondialement reconnue. Cela garantit que notre logiciel est signé et validé de manière sécurisée, empêchant toute altération ou modification non autorisée. Les utilisateurs peuvent désormais télécharger et utiliser notre logiciel en toute confiance.

  • Sécurité des API renforcée

    Nos API ont fait l'objet d'une refonte complète de la sécurité :

    • Améliorations de l'authentification: Renforcement de l'authentification par jetons pour éviter tout accès non autorisé.
    • Limitation du débit: Mise en place de limites de débit pour atténuer les abus et les attaques par déni de service.
    • Chiffrement des données: Assurance d'un chiffrement de bout en bout pour toutes les communications API, protégeant les informations sensibles en transit.