As-tu trouvé une faille dans nos systèmes ?

Si tu découvres une vulnérabilité technique dans nos systèmes, il existe une procédure pour la signaler. Ce processus est appelé Divulgation coordonnée des vulnérabilités (DCV). Cependant, si tu découvres une vulnérabilité dans un système ou un produit qui ne fait pas partie de notre plateforme, ta première démarche doit être de la signaler au propriétaire de ce système ou de ce produit en particulier. Tu ne dois faire appel à notre équipe technique que si l'organisation responsable ne réagit pas de manière adéquate pour remédier à la vulnérabilité. Dans ce cas, nous interviendrons en tant qu'intermédiaire et nous nous efforcerons d'attirer leur attention sur la vulnérabilité. Pour toute demande de renseignements ou tout commentaire sans rapport avec la cybersécurité, n'hésite pas à nous contacter par le biais de notre page "Nous contacter".

De plus, si tu identifies des vulnérabilités qui affectent plusieurs systèmes ou fournisseurs, n'hésite pas à prendre contact avec notre équipe technique. Dans ces cas-là, nous pouvons aider à coordonner une solution pour les vulnérabilités identifiées. Tu peux signaler ces vulnérabilités en utilisant notre formulaire de contact, et nous te contacterons pour faciliter le processus de résolution.

Quelles vulnérabilités peuvent faire l'objet d'une MCV ?

Tu peux nous signaler des vulnérabilités si elles sont susceptibles de compromettre la sécurité du système. Par exemple, il peut s'agir de vulnérabilités qui permettent de contourner des formulaires de connexion ou qui accordent un accès non autorisé à des bases de données contenant des informations personnelles.

Il est important de noter que tous les défauts du système ne sont pas considérés comme des vulnérabilités. En règle générale, les défauts suivants ne sont pas susceptibles d'entraîner une faille de sécurité, et nous te demandons de bien vouloir t'abstenir de nous signaler de tels problèmes :

• Les défauts qui n'affectent pas la disponibilité, l'intégrité ou la confidentialité des données.
• La disponibilité de la fonctionnalité xmlrpc.php de WordPress lorsque son utilisation abusive se limite à ce que l'on appelle une attaque par déni de service de type "pingback".
• La possibilité d'utiliser le cross-site scripting sur un site web statique ou un site web qui ne traite aucune donnée sensible (utilisateur).
• La disponibilité d'informations sur la version, par exemple via un fichier info.php. Une exception possible dans ce scénario est lorsque les informations sur la version révèlent que le système utilise un logiciel qui contient des vulnérabilités connues.
• L'absence d'en-têtes de sécurité HTTP tels qu'ils sont utilisés par des mécanismes tels que le partage de ressources entre origines (CORS), à moins que cette absence d'en-tête de sécurité n'entraîne manifestement un problème de sécurité.
• Les certificats tels que SSL ou les noms de domaine qui sont sur le point d'expirer.

Si tu as des doutes sur le fait que le défaut que tu as trouvé entre dans l'une des exceptions ci-dessus, tu peux toujours nous signaler le défaut. Nous déterminerons alors si le défaut constitue une vulnérabilité et prendrons les mesures de suivi appropriées.

Comment soumettre des MCV ?

Tu dois suivre les étapes suivantes :

• Remplis le formulaire de contact et dis-nous ce que tu as trouvé.
• Dans ton rapport, décris aussi clairement que possible comment le problème peut être reproduit, car cela permettra d'accélérer le processus de résolution. Généralement, l'adresse IP ou l'URL du système affecté et une description de la vulnérabilité suffisent, mais les vulnérabilités plus complexes peuvent nécessiter des informations supplémentaires. Dans ce cas, nous te contacterons.
• Au minimum, indique une adresse électronique ou un numéro de téléphone pour que nous puissions te contacter si nous avons des questions. Nous préférons communiquer par courrier électronique.

Veille à :

• Signaler la vulnérabilité dès que possible après l'avoir découverte.
• Ne parle à personne d'autre du problème de sécurité tant que nous ne t'aurons pas dit qu'il a été résolu.
• Traite la connaissance de la vulnérabilité de manière responsable, par exemple en ne prenant aucune autre mesure que celle qui est nécessaire pour démontrer la vulnérabilité.

Qu'est-ce que tu ne dois pas faire ?

Tu ne dois jamais effectuer l'une des actions suivantes :

• Introduire un logiciel malveillant dans le système.
• Copier, modifier ou supprimer des données dans le système.
• Apporter des modifications au système.
• Accéder au système de façon répétée ou partager l'accès au système avec d'autres personnes.
• Effectuer des attaques par force brute pour accéder à un système.
• Effectuer des attaques par déni de service ou de l'ingénierie sociale.

Principes de notre politique en matière de CVD

• Si tu soumets ton rapport conformément à la procédure, il n'y aura pas de conséquences juridiques en rapport avec ton rapport. Nous traiterons ton rapport en toute confidentialité et ne divulguerons pas tes informations personnelles à un tiers sans ton autorisation, sauf si la loi ou une décision de justice nous y oblige.
• Nous ne t'identifierons en tant que découvreur de la vulnérabilité en question que si tu nous en donnes la permission.
• Nous accuserons réception du rapport dans un délai d'un jour ouvrable, puis nous t'enverrons une évaluation de ton rapport dans un délai de trois jours ouvrables. Nous te tiendrons également informé des progrès réalisés dans la résolution du problème.
• Notre équipe de sécurité s'efforcera de résoudre le problème de sécurité que tu as signalé dans un délai maximum de 60 jours. Une fois le problème résolu, nous te consulterons pour déterminer si et comment publier les détails du problème et de sa résolution.
• Notre équipe de sécurité t'offrira également une récompense pour te remercier de ton aide. Cette récompense peut aller d'un café à un t-shirt, en passant par des chèques-cadeaux, en fonction de la gravité de la vulnérabilité et de la qualité du rapport. Pour être éligible à une récompense, le rapport doit être une vulnérabilité sérieuse que notre équipe de sécurité n'a pas encore vue.