Vers le contenu principal

Signalement de vulnérabilité

La sécurité de nos systèmes et des données est notre priorité. Néanmoins, des vulnérabilités peuvent être détectées. Ainsi, nous vous demandons de nous aider à protéger nos systèmes et les données. Si vous découvrez une vulnérabilité, il est nécessaire que vous nous en informiez. De cette manière, nous pourrons prendre le plus rapidement possible les mesures requises pour y remédier. Ce type de rapport se dénomme signalement de vulnérabilité. 

À faire :

  • Indiquez-nous la vulnérabilité détectée en nous la soumettant sur Zerocopter en cliquant ici. Vous trouverez également sur cette page des informations sur les vulnérabilités qui entrent dans le champ d’application des signalements. 
  • Procédez à votre signalement de manière confidentielle afin qu’aucune autre personne n’ait accès aux informations.
  • Signalez la vulnérabilité aussi rapidement que possible afin de minimiser le risque que des personnes malveillantes en tirent profit.
  • Assurez-vous de nous communiquer toutes les informations nécessaires afin d’identifier la vulnérabilité et pour que nous puissions la résoudre. L’adresse IP ou l’URL du système impacté, accompagnée d’une description de la vulnérabilité suffisent. Néanmoins, les vulnérabilités complexes nécessitent une explication plus approfondie.

À ne pas faire :

  • Tirer profit de la vulnérabilité découverte, par exemple en téléchargeant plus de données que nécessaire pour démontrer la vulnérabilité ou en supprimant/modifiant nos données.
  • Révéler la vulnérabilité à d’autres personnes avant sa résolution.
  • Utiliser la vulnérabilité pour les attaques contre la sécurité physique, l'ingénierie sociale, le déni de service distribué, le spam ou les applications (web) d'autres parties.
  • Accéder de façon répétée au système ou partager l’accès avec d’autres personnes.
  • Effectuer activement des scans automatisés sur notre infrastructure et nos systèmes afin d’identifier des vulnérabilités.
  • Utiliser des techniques d’« attaque par force brute » pour accéder à nos systèmes et à nos données dans la mesure où il ne s’agit pas d’une vulnérabilité.

Nos promesses :

Nous vous proposerons une récompense pour toute divulgation de vulnérabilité qui nous était jusqu’alors inconnue comme signe de gratitude pour votre aide. Le montant de la récompense sera déterminé selon la gravité de la vulnérabilité. Les paiements seront effectués une fois le statut « résolu » accordé à un signalement.

  • Nous vous tiendrons au courant du statut de résolution de la vulnérabilité via Zerocopter.
  • Nous traiterons votre signalement en toute confidentialité et nous ne partagerons pas vos informations personnelles avec des tiers sans votre consentement, sauf si nous y sommes obligés par la loi ou par une décision de justice. 
  • Nous n’engagerons aucune action en justice si vous procédez au signalement d’une vulnérabilité conformément à la procédure.