secubox-openwrt/SECURITY.fr.md

Politique de Sécurité

🌐 Langues : English | Français | 中文

Politique de Divulgation de Sécurité SecuBox

Ce document décrit la politique de sécurité du firmware SecuBox, en conformité avec les exigences de l'Article 13 §6 du Cyber Resilience Act (CRA) de l'UE pour les produits de Classe I.

Fabricant : CyberMind Produits SASU Contact : Gérald Kerma, Notre-Dame-du-Cruet, Savoie, France Site Web : https://cybermind.fr | https://secubox.in

---

Versions Supportées

Version	Statut de Support	Fin de Support
1.0.x	✅ Actuelle (Beta)	Développement actif
0.19.x	✅ LTS	Mars 2027
0.18.x	⚠️ Sécurité uniquement	Septembre 2026
< 0.18	❌ Fin de Vie	Non supporté

Version Beta v1.0.0

La version Beta v1.0.0 est maintenant disponible pour les tests de sécurité. Voir BETA-RELEASE.md pour :

• Vue d'ensemble de la surface d'attaque
• Cibles à haute valeur
• Points faibles connus (divulgation intentionnelle)
• Périmètre du bug bounty et directives de signalement

Politique de support :

• Actuelle : Toutes les corrections de bugs et patches de sécurité
• LTS (Support à Long Terme) : Patches de sécurité critiques uniquement, 18 mois
• Sécurité uniquement : Vulnérabilités critiques uniquement, 6 mois après la prochaine version majeure
• Fin de Vie : Aucune mise à jour, mise à niveau fortement recommandée

---

Signaler une Vulnérabilité

Nous prenons les vulnérabilités de sécurité au sérieux. Si vous découvrez un problème de sécurité, veuillez le signaler de manière responsable.

Contact Principal

Email : security@cybermind.fr

Clé PGP : 0xABCD1234 Empreinte : 1234 5678 9ABC DEF0 1234 5678 9ABC DEF0 1234 5678

Contact Alternatif

Pour les vulnérabilités critiques nécessitant une attention immédiate :

• Téléphone : +33 (0)4 79 XX XX XX (heures ouvrables françaises)
• Signal : Disponible sur demande par email

Communication Chiffrée

Nous recommandons fortement l'utilisation du chiffrement PGP pour les rapports de vulnérabilité. Notre clé publique est disponible sur :

• https://secubox.in/pgp/security-key.asc
• https://keys.openpgp.org (rechercher : security@cybermind.fr)

Que Fournir

Veuillez inclure :

1. Description : Description claire de la vulnérabilité
2. Impact : Impact potentiel sur la sécurité (confidentialité, intégrité, disponibilité)
3. Versions affectées : Quelles versions de SecuBox sont concernées
4. Étapes de reproduction : Instructions étape par étape pour reproduire
5. Preuve de concept : Code, logs ou captures d'écran si applicable
6. Correction suggérée : Si vous en avez une (optionnel)

Délais de Réponse

Phase	Délai
Accusé de réception	Sous 48 heures
Triage initial	Sous 5 jours ouvrables
Mise à jour du statut	Tous les 7 jours pendant l'investigation
Développement du correctif	Selon la sévérité (voir ci-dessous)
Divulgation publique	90 jours après le correctif, ou coordonnée

Délai de correction selon la sévérité :

• Critique (CVSS 9.0+) : 7 jours
• Haute (CVSS 7.0-8.9) : 30 jours
• Moyenne (CVSS 4.0-6.9) : 60 jours
• Basse (CVSS < 4.0) : Prochaine version régulière

---

Software Bill of Materials (SBOM)

Comme requis par l'Annexe I du CRA, nous publions des SBOM en format lisible par machine pour toutes les versions.

Emplacement du SBOM

Les SBOM sont joints à chaque Release GitHub :

• CycloneDX 1.6 : secubox-VERSION.cdx.json
• SPDX 2.3 : secubox-VERSION.spdx.json
• Rapport CVE : secubox-VERSION-cve-report.json
• Checksums : checksums.sha256

Lien direct : https://github.com/cybermind/secubox/releases/latest

Contenu du SBOM

Notre SBOM inclut :

• Tous les paquets de base OpenWrt
• Les paquets personnalisés SecuBox et leurs dépendances
• Les modules noyau et blobs firmware
• Les bibliothèques cryptographiques et versions
• Les informations de licence (identifiants SPDX)
• Les identifiants PURL (Package URL) pour chaque composant

Vérification de l'Intégrité du SBOM

# Télécharger le SBOM et les checksums
wget https://github.com/cybermind/secubox/releases/latest/download/secubox-0.20.cdx.json
wget https://github.com/cybermind/secubox/releases/latest/download/checksums.sha256

# Vérifier le checksum
sha256sum -c checksums.sha256 --ignore-missing

---

Divulgation de Vulnérabilité (VEX)

Nous utilisons des documents Vulnerability Exploitability eXchange (VEX) pour communiquer le statut des CVE affectant les composants SecuBox.

Politique VEX

Voir docs/vex-policy.md pour notre politique complète de gestion VEX.

Définitions des statuts :

• not_affected : Le CVE n'affecte pas SecuBox (composant non utilisé, conditions non remplies)
• affected : Le CVE affecte SecuBox, correctif en cours
• fixed : CVE corrigé dans la version spécifiée
• under_investigation : Analyse en cours

Les documents VEX sont publiés avec les releases :

• secubox-VERSION.vex.json (format CycloneDX VEX)

---

Déclaration de Conformité CRA

Cyber Resilience Act de l'UE — Déclaration Classe I

SecuBox est un produit de Classe I selon le Cyber Resilience Act de l'UE (Règlement 2024/XXX), car c'est un routeur/appliance VPN avec des fonctions de connectivité réseau.

Statut de conformité :

• ✅ SBOM publié en format lisible par machine (CycloneDX + SPDX)
• ✅ Contact de divulgation de vulnérabilité établi
• ✅ Mécanisme de mise à jour de sécurité implémenté (opkg + secubox-update)
• ✅ Configuration sécurisée par défaut
• ⏳ Certification ANSSI CSPN : En cours (cible T3 2026)

Parcours de Certification

Nous poursuivons la certification ANSSI CSPN (Certification de Sécurité de Premier Niveau) pour SecuBox, avec une finalisation prévue au T3 2026.

Périmètre de certification :

• Fonctionnalité pare-feu
• Implémentation VPN (WireGuard)
• Détection d'intrusion (intégration CrowdSec)
• Chaîne de démarrage sécurisé
• Vérification d'intégrité des mises à jour

---

Architecture de Sécurité

Défense en Profondeur

SecuBox implémente plusieurs couches de sécurité :

1. Segmentation Réseau : Isolation VLAN, séparation réseau invité
2. Protection WAF : Pare-feu applicatif web basé sur mitmproxy
3. Détection d'Intrusion : Renseignement sur les menaces communautaire CrowdSec
4. VPN Chiffré : WireGuard avec cryptographie moderne
5. Contrôle d'Accès : Portail SSO avec support MFA
6. Journalisation d'Audit : Journalisation complète des événements de sécurité

Souveraineté des Données

SecuBox inclut une Passerelle IA qui applique la classification des données :

• LOCAL_ONLY : Les données sensibles (IPs, credentials) ne quittent jamais l'appareil
• SANITIZED : PII supprimés avant traitement cloud EU (Mistral)
• CLOUD_DIRECT : Requêtes génériques vers fournisseurs opt-in

Voir documentation AI Gateway pour plus de détails.

---

Composants Tiers

SecuBox s'appuie sur :

• OpenWrt : GPL-2.0, https://openwrt.org
• CrowdSec : MIT, https://crowdsec.net
• WireGuard : GPL-2.0, https://wireguard.com
• mitmproxy : MIT, https://mitmproxy.org

Nous surveillons les avis de sécurité upstream et intégrons les patches rapidement.

---

Pratiques de Développement Sécurisé

• Revue de code : Toutes les modifications nécessitent une revue par les pairs
• Scan des dépendances : Scan CVE automatisé dans la CI/CD
• Génération SBOM : Automatisée à chaque release
• Builds reproductibles : SOURCE_DATE_EPOCH appliqué
• Releases signées : (Planifié) Signatures cosign pour les releases

---

Contact

• Sécurité générale : security@cybermind.fr
• Support : support@cybermind.fr
• Commercial : contact@cybermind.fr

Adresse : CyberMind Produits SASU Notre-Dame-du-Cruet 73130 Savoie, France

---

Hall of Fame

Chercheurs en sécurité ayant divulgué des vulnérabilités de manière responsable :

Chercheur	Date	Sévérité	Description
Votre nom ici	—	—	—

Nous remercions tous les contributeurs qui aident à rendre SecuBox plus sûr.

---

Dernière mise à jour : 2026-03-15 Version du document : 1.1