Politique de divulgation responsable
Les informations de cette page sont destinées aux chercheurs en sécurité qui souhaitent signaler des failles de sécurité à l’équipe de sécurité de Transporeon. Si vous êtes un client et que vous avez une question sur la sécurité ou un problème de mot de passe ou de compte, veuillez nous contacter via les canaux d’assistance habituels.
Transporeon revoit régulièrement sa politique de divulgation responsable d’un point de vue juridique et opérationnel.
La sécurité est au cœur de nos valeurs, et nous apprécions la contribution des chercheurs en sécurité qui agissent de bonne foi pour nous aider à maintenir un niveau élevé de sécurité et de confidentialité pour nos utilisateurs. Il s’agit notamment d’encourager la recherche et la divulgation responsables des vulnérabilités. Cette politique définit notre définition de la bonne foi dans le contexte de la recherche et du signalement des vulnérabilités, ainsi que la manière dont nous traitons votre rapport.
Comment nous contacter
Notre canal de communication officiel est le formulaire. Veuillez cliquer sur le bouton « Signaler une vulnérabilité » et signaler le problème. Les problèmes sont triés par un analyste de sécurité avant d’être transmis à l’équipe appropriée.
Veuillez rédiger votre rapport en anglais ou en allemand et nous fournir suffisamment d’informations pour nous permettre de repérer la vulnérabilité. Veuillez inclure vos coordonnées afin que nous puissions vous contacter directement. Si vous ne souhaitez pas être contacté, nous le comprenons, mais cela peut entraver notre capacité à enquêter et à corriger la vulnérabilité.
Sphère de sécurité
Lorsque nous menons des recherches sur la vulnérabilité conformément à cette politique, nous considérons que ces recherches sont autorisées, légales, utiles à la sécurité globale de l’Internet et menées de bonne foi.
Vous êtes tenu, comme toujours, de respecter toutes les lois applicables. Si, à tout moment, vous avez des inquiétudes ou si vous n’êtes pas certain que votre recherche en matière de sécurité est conforme à cette politique, veuillez soumettre un rapport via notre canal officiel avant d’aller plus loin.
Règles de base
Afin d’encourager la recherche de vulnérabilités et d’éviter toute confusion entre piratage de bonne foi et attaque malveillante, nous vous demandons de:
- Respecter les règles. Cela inclut le respect de cette politique, ainsi que de tout autre accord pertinent.
- Ne pas violer la vie privée d’autrui, les réglementations relatives à la protection des données personnelles, ne pas perturber nos systèmes, ne pas détruire de données et/ou ne pas nuire à l’expérience des utilisateurs;
- Effectuer des tests uniquement sur les systèmes dans le champ d’application, et respecter les systèmes et les activités qui sont hors du champ d’application.
- N’interagir qu’avec des comptes ou des appareils qui vous appartiennent ou avec l’autorisation explicite du propriétaire.
- Faire un effort de bonne foi pour éviter l’interruption ou la dégradation de notre service.
- Limiter la quantité de données auxquelles vous accédez au minimum requis pour démontrer efficacement une validation de principe, si une vulnérabilité permet un accès involontaire aux données,
- Cesser les tests et soumettre immédiatement un rapport si vous rencontrez des données utilisateur pendant les tests, telles que des informations d’identification personnelle, des informations personnelles sur la santé, des données de carte de crédit ou des informations exclusives.
- Ne pas essayer d’obtenir un accès physique à la propriété ou aux centres de données de Transporeon.
- Ne pas essayer d’exécuter des attaques par déni de service.
- Ne pas avoir recours à l’ingénierie sociale (par exemple, le phishing, le vishing, le smishing), qui est une pratique interdite.
- Signaler rapidement toute vulnérabilité découverte.
- Ne pas vous livrer à l’extorsion en exigeant une récompense avant de divulguer les détails de la vulnérabilité.
- Utiliser uniquement les canaux officiels pour discuter avec nous des informations relatives à la vulnérabilité.
Divulgation
Vous n’êtes pas autorisé à discuter publiquement ou à publier une vulnérabilité avant qu’elle n’ait été corrigée et que vous ayez reçu une autorisation explicite de notre part pour le faire.
Portée
Cette politique couvre tous les services, produits ou propriétés Web de Transporeon.
Veuillez noter! La plupart des rapports que nous recevons ont peu ou pas d’impact sur la sécurité ou sont déjà connus. Afin d’éviter une expérience décevante lorsque vous nous contactez, veuillez prendre un moment pour examiner si le problème que vous souhaitez signaler a un scénario d’attaque réaliste.
En particulier, nous vous demandons de ne pas soumettre de questions concernant:
- Des vulnérabilités théoriques sans aucune preuve ou démonstration de la présence réelle de la vulnérabilité.
- Les résultats des outils automatisés sans fournir une preuve de concept.
- Des vulnérabilités nécessitant un MITM, ou un accès physique au navigateur d’un utilisateur, ou à un smartphone, ou à un compte de messagerie, ainsi que des problèmes sur les smartphones rootés ou jailbreakés.
- Des en-têtes HTTP liés à la sécurité manquants ou faibles.
- La divulgation de données non sensibles, par exemple des bannières de version de serveur.
- Des problèmes d’usurpation de contenu et d’injection de texte sans montrer de vecteur d’attaque/sans pouvoir modifier le HTML/CSS.
- Le Cross-Site Request Forgery (CSRF) sur des formulaires non authentifiés ou des formulaires sans actions sensibles.
- Le Self-XSS.
- L’absence de bonnes pratiques en matière de courrier électronique (enregistrements SPF/DKIM/DMARC invalides, incomplets ou manquants, etc.)
- L’injection d’en-tête d’hôte, sauf si vous avez confirmé qu’elle peut être exploitée dans une attaque pratique.
- Des logiciels ou bibliothèques vulnérables connus antérieurement sans preuve de concept fonctionnel.
- Des problèmes de limitation de débit ou de force brute sur les points d’extrémité non authentifiés.
- Le déni de service.
- L’injection de CSV/formule.
- Des exploits basés sur Flash.
- Le détournement de clics sur des pages sans actions sensibles.
Les actions que vous pouvez attendre de nous:
Lorsque vous travaillez avec nous conformément à cette politique, vous pouvez vous attendre à ce que nous:
- Étendions la sphère de sécurité à vos recherches sur les vulnérabilités qui sont effectuées conformément à cette politique ;
- Signalions rapidement toute vulnérabilité découverte ;
- Travaillions avec vous pour comprendre et valider votre rapport, y compris une réponse initiale à la soumission dans un délai raisonnable ;
- Travaillions pour remédier aux vulnérabilités découvertes en temps voulu ;
- Vous informions lorsque la vulnérabilité est résolue, afin que vous puissiez la tester à nouveau et confirmer qu’elle est corrigée.
Transporeon apprécie les efforts des chercheurs en sécurité qui identifient les vulnérabilités et coopèrent avec nous pour assurer la sécurité de nos clients. Nous vous sommes reconnaissants de faire de votre mieux pour améliorer la sécurité et la sûreté de nos produits et de la communauté Internet dans son ensemble.