Comment signaler une faille de sécurité ?

Divulgation responsable

Nous nous engageons à protéger les informations de nos clients. Si vous pensez avoir identifié une faille de sécurité, nous apprécions le fait que vous nous en faisiez part de manière responsable en nous écrivant à l'adresse security@vyond.com.

Nous accordons une grande importance à la sécurité et nous enquêterons et répondrons à chaque fois qu'une faille de sécurité nous sera signalée. Nous sommes particulièrement intéressés par les vulnérabilités associées à vyond.com.

Veuillez prendre en considération les points suivants :

  • Décrivez la ou les failles de manière suffisamment détaillée et indiquez les ramifications des attaques.
  • Veuillez inclure une preuve de concept reproductible, le cas échéant, telle que des extraits de code, des URL de demande et des charges utiles d'attaque, des captures d'écran, des fichiers de trace de paquets ou une capture vidéo démontrant l'exploit. Si possible, dressez la liste des documents de référence sur des sites externes s'ils peuvent nous aider à mieux comprendre la nature du problème.
  • Veuillez éviter de signaler plusieurs types de failles dans le même e-mail, car cela pourrait nous empêcher d'agréger des rapports de failles similaires et nous empêcher d'identifier rapidement les failles critiques en temps voulu. Si vous avez plusieurs failles à signaler, veuillez nous envoyer un e-mail pour chaque type de faille.
  • Veuillez ne pas vous lancer dans des tests susceptibles d'avoir un impact sur nos clients ou d'entraîner une dégradation du service, tels que des attaques par déni de service, de l'ingénierie sociale et du spam. L'approbation de Vyond est requise avant l'utilisation de scanners automatisés, comme Burp ou Acunetix, contre le site qui génère un grand volume de demandes dans un court laps de temps.
  • Vous n'êtes pas autorisé à effectuer des tests d'intrusion au niveau de l'hôte.
  • Vous ne pouvez pas récolter d'informations associées à un compte qui n'est pas le vôtre. Si vous découvrez de telles informations de façon accidentelle, nous vous invitons à nous en faire part et à effacer toutes les copies de données tierces stockées localement.
  • Ne divulguez pas vos découvertes tant que nous n'aurons pas confirmé et résolu les problèmes.
  • Nous sommes susceptibles de vous contacter pour vous demander des informations supplémentaires si votre rapport ne contient pas suffisamment d'informations pour nous permettre de comprendre le contexte des problèmes signalés.
  • Nous vous répondrons entre 1 jour ouvré et 1 à 3 semaines selon la gravité du problème et la qualité de votre rapport. Veuillez ne pas nous assaillir de demandes de vérification de statut.
  • Les divulgations pertinentes peuvent vous rendre éligible à notre hall of fame, comme décrit ci-dessous.

Hall of Fame

Si vous contribuez à découvrir une faille grave, nous vous témoignons notre gratitude pour votre contribution en reconnaissant vos efforts sur notre Hall of Fame, sous réserve des dispositions suivantes :

  • Si nous recevons plusieurs rapports pour la même faille, seul le premier rapport utile sera reconnu.
  • Vyond se réserve le droit de choisir le « premier rapport utile » en évaluant des facteurs incluant notamment le moment de réception et le degré d'intégralité. Le principe directeur en vertu de l'utilité est de savoir dans quelle mesure le signalement en lui-même nous a aidé à identifier et à corriger une faille avérée spécifique.
  • En nous soumettant une faille, vous acceptez que la décision de fournir ou non un accusé de réception reste à la seule discrétion de Vyond.
  • De même, Vyond se réserve le droit de rejeter tout rapport de faille à sa discrétion.
  • Les remerciements sont actuellement répertoriés sur la page des divulgations relatives à la sécurité. Si nécessaire, Vyond se réserve le droit de déplacer le contenu vers une autre URL à l'avenir en cas de restructuration du site ou pour toute autre raison.
  • Aucune compensation monétaire ne sera fournie.
  • Veuillez noter que les failles Clickjacking et CSRF ne sont examinées que pour les sites et les pages représentant un risque d'attaque pour vyond.com.

Le programme de divulgation de sécurité peut être modifié ou annulé par Vyond à tout moment, sans préavis. Ainsi, Vyond peut modifier ces conditions à tout moment en publiant une version révisée sur notre site Web.

Problèmes connus et éléments spéciaux

Voici quelques-uns des éléments fréquemment signalés que nous sommes en train de corriger ou que nous avons décidé de ne pas traiter à ce stade. Les rapports concernant ces articles ne sont pas éligibles à une reconnaissance dans le Hall of Fame :

  • Problèmes de gestion de session liés à vyond.com pour les sessions longue durée et les failles qui nécessitent la relecture des cookies.
  • Absence d'en-têtes de sécurité spécifiques (par exemple HSTS).

Veuillez noter que les sites de service Vyond qui ne font pas partie de nos applications Web ne relèvent pas de notre programme de divulgation responsable et ne sont pas éligibles au Hale of Fame.

  • Points de terminaison tiers (sauf si une méthode d'intégration non sécurisée est utilisée dans nos applications Web concernées)
  • Site de marketing de Vyond (c.-à-d. www.vyond.com)
  • Site communautaire de Vyond (community.vyond.com)
  • Site d'assistance de Vyond ( support.vyond.com / help.vyond.com)

La liste suivante répertorie des exemples de vulnérabilités éligibles et inéligibles, respectivement, en vue de leur éventuelle inclusion dans le Hall of Fame. Les listes ne sont pas exhaustives.

Exemples de vulnérabilités éligibles

  • Contournement de l'authentification
  • Script intersite
  • Exécution de code sur serveur
  • Injection de code SQL
  • Élévation des privilèges
  • Exposition à des informations sensibles

Exemples de vulnérabilités non éligibles

  • Déni de service
  • Ingénierie sociale
  • Scripts à contenus mixtes
  • Cookies non sécurisés
  • Failles obligeant une victime potentielle à installer un logiciel non standard ou à prendre des actions susceptibles de les exposer à des risques
  • Failles spécifiques aux navigateurs obsolètes
  • Divulgation de bannière de serveur Web
  • Passage de jetons potentiellement sensibles sur des requêtes HTTP vers des widgets tiers pré-autorisés

Nous tenons à remercier les personnes suivantes pour nous avoir signalé des failles de manière responsable.

Merci !

  • Rodolfo Godalle (@rodgodalle)
  • Koutrouss Naddara
  • Osama Mahmood
  • Thatipalli Abhishek
  • Mihir Mistry
  • Ch. Muhammad Osama (@ChMuhammadOsama)
  • Arvind Singh Shekhawat (@EhArvindSingh)
  • JAYVARDHAN SINGH (@Silent_Screamr)
  • Saurabh Chandrakant Nemade (@SaurabhNemade)
  • Anurag Giri
  • mahipal singh rajpurohit (@rajgurumahi007)
  • Sebastian Neef & Richard Kwasnicki
  • Renatas Karpuška
  • Muhammad Talha Khan (@M7K911)
  • Kesav Viswanath Nimmagadda (@kesavnimmagadda)
  • Kamil Sevi (@kamilsevi)
  • ajay singh negi (@AjaySinghNegi)
  • Nadi Abdellah
  • Roy Jansen (@RoyJansen_01
  • Jaidip Kotak (@JaidipKotak)
  • Ahmed Y. Elmogy
  • Ramin Farajpour Cami (@MF4rr3ll)
  • Ahmed Jerbi
  • Ayoub Ait Elmokhtar (@aessadek)
  • Sandeep Sudhagani
  • ABDULWAHAB Khan (@hackerwahab)
  • Pal Patel
  • RAVENAL PRAMOD KUMAR (@PramodRavela)
  • İsmail BÜLBÜL (Usgf.org.tr)
  • Ismail Tasdelen
  • Faizan Ahmed
  • Ather Iqbal
  • Hanz Gumapac
  • Akash Pandey (@HNTR03)
  • Sagar Kumar Patra (@SagarPatra2705)
Cet article vous a-t-il été utile ?
Utilisateurs qui ont trouvé cela utile : 2 sur 2
Vous avez d’autres questions ? Envoyer une demande