Signaler une vulnérabilité

Signaler une vulnérabilité

Avez-vous découvert une vulnérabilité dans nos systèmes ? Ensuite, nous aimerions avoir de vos nouvelles. Avec votre aide, nous pouvons améliorer nos services et leur sécurité.

Vous pouvez signaler des problèmes liés à nos services en ligne. Par exemple (mais sans s’y limiter) :

Scripts intersintiels

Injection SQL

Falsification de demandes intersintaires (CSRF)

Faiblesses dans l’authentification

 

Notre ensemble de règles

Vous nous signalez une vulnérabilité ? Et ce rapport est-il pertinent ? Dans ce cas, nous vous récompensons toujours avec un petit cadeau ou Swag. Après tout, vous avez investi du temps et des efforts dans vos recherches. Votre rapport est-il important? Ensuite, vous pourriez être admissible à une indemnisation. Nous avons un ensemble de règles :

  • Agissez avec intégrité et ne causez pas de dommages pendant votre enquête.
  • Ne perturbez pas nos services si vous enquêtez sur une vulnérabilité.
  • Ne divulguez jamais nos renseignements personnels sur les clients ou nos renseignements personnels.
  • N’importe qui peut signaler une vulnérabilité. Même si vous n’êtes pas client de Trad3s.
  • Ne partagez pas la vulnérabilité avec d’autres personnes tant qu’elle n’est pas résolue. Parlez à nos experts et donnez-nous le temps de résoudre le problème.
  • Nous ne traitons que les rapports en anglais ou en néerlandais.
  • N’utilisez pas d’attaques contre la sécurité physique, l’ingénierie sociale ou les outils de piratage tels que les scanners de vulnérabilité.
  • Ne placez pas de porte dérobée dans un système (d’information) ( pour démontrer la vulnérabilité. )
  • Faites un usage minimal d’une faiblesse. Ne faites que ce qui est nécessaire pour déterminer la vulnérabilité.
  • Ne modifiez ni ne supprimez aucune donnée du ou des systèmes.
  • Soyez prudent lorsque vous copiez des données.
  • N’apportez pas de modifications au système.
  • N’essayez pas à plusieurs reprises de deviner un mot de passe pour accéder aux systèmes par le biais d’attaques par force brute, d’attaques par dictionnaire, etc.

 

Exclusions

S’il s’agit d’une vulnérabilité avec un risque faible ou accepté, Trad3s peut décider de ne pas récompenser un rapport. Voici quelques exemples de telles vulnérabilités :

  • Codes HTTP 404 ou autres codes non HTTP 200
  • Ajout de texte brut dans 404 pages
  • Publier des bannières sur les services publics
  • Fichiers et dossiers accessibles au public contenant des informations non sensibles
  • Détournement de clic sur les pages sans fonction de connexion
  • Falsification de requête intersite (CSRF) sur des formulaires accessibles de manière anonyme
  • Absence de drapeaux ‘sécurisé’ / ‘HTTP Uniquement’ sur les cookies non sensibles
  • Utilisation de la méthode HTTP OPTIONS
  • Injection d’en-tête d’hôte
  • Absence d’enregistrements SPF, DKIM et DMARC
  • Manque de DNSSEC
  • Il manque un ou plusieurs des en-têtes de sécurité HTTP suivants :
  • Stricte – Sécurité du transport (HSTS)
  • Épinglage de clé publique HTTP (HPKP)
  • Politique de sécurité du contenu (CSP)
  • Options X-Content-Type
  • Options X-Frame
  • X- WebKit -CSP
  • X-XSS- Protection

 

Que se passe-t-il après le signalement ?

Nos experts en sécurité enquêteront sur votre rapport. Vous recevrez une première réponse dans les deux jours ouvrables. Vous pouvez faire rapport à security@trad3s.com. Peut-être faites-vous quelque chose dans votre enquête qui est interdit par la loi. Si vous le faites de bonne foi, avec soin et conformément aux règles mentionnées ci-dessus, nous avons l’intention de ne pas porter plainte. Cependant, nous voulons être en mesure d’équilibrer chaque situation séparément. Nous nous considérons moralement obligés de porter plainte si nous soupçonnons que la vulnérabilité ou les données sont utilisées à mauvais escient, ou que vous avez partagé des connaissances sur la vulnérabilité avec d’autres.

 

Récompense

Nous vous donnons toujours un petit cadeau ou Swag pour l’effort que vous avez fait si ce que vous avez trouvé n’est pas sur la liste d’exclusion. Si nous corrigeons des vulnérabilités ou ajustons nos services grâce à votre rapport, nous vous donnerons une compensation appropriée pour cela. Trad3s décide si vous y êtes admissible et quel est le montant du remboursement. D’autres signalent-ils la même vulnérabilité ? Ensuite, le remboursement est pour le premier journaliste.

 

Vie privée

Si vous avez fait un signalement, nous vous demanderons vos coordonnées (nom, e-mail, clé publique PGP et numéro de téléphone). Nous ne donnons pas vos informations à d’autres et ne les utilisons pas à d’autres fins. Sauf si nous sommes légalement tenus de le faire, par exemple dans le cas d’une réclamation des autorités judiciaires.

 

AWS (en)

Nos services s’exécutent sur Amazon Web Services. Amazon a ses propres règles concernant le pentesting des services sur leur plate-forme. Nous vous prions de bien vouloir prendre note de ces règles et de vous y conformer lors de vos recherches.

 

URL: https://aws.amazon.com/security/penetration-testing/