Rechercher
Kilométrage
Recherche avancée
1
Vendre un véhicule Community

Tu as trouvé une faille dans nos systèmes ?

Si tu découvres une vulnérabilité technique dans nos systèmes, il y a une procédure pour la signaler. On appelle ça la Divulgation Coordonnée de Vulnérabilité (DCV). Par contre, si tu repères une faille dans un système ou un produit qui ne fait pas partie de notre plateforme, ton premier réflexe devrait être de la signaler au propriétaire de ce système ou produit. Contacte notre équipe technique seulement si l'organisation responsable ne répond pas de manière adéquate pour corriger la faille. Dans ce cas, on interviendra comme intermédiaire pour attirer leur attention sur le problème. Pour toute question ou commentaire sans rapport avec la cybersécurité, n'hésite pas à nous contacter via notre page "Contact".

De plus, si tu identifies des vulnérabilités qui touchent plusieurs systèmes ou fournisseurs, n'hésite pas à contacter notre équipe technique. Dans ces situations, on peut aider à coordonner une solution pour les failles identifiées. Tu peux signaler ces vulnérabilités en utilisant notre formulaire de contact, et on te recontactera pour faciliter le processus de résolution.

Quelles vulnérabilités peuvent faire l'objet d'une DCV ?

Tu peux nous signaler des vulnérabilités si elles risquent de compromettre la sécurité du système. Par exemple, ça peut inclure des failles qui permettent de contourner les formulaires de connexion ou d'accéder sans autorisation à des bases de données contenant des informations personnelles.

Note bien que tous les défauts de système ne sont pas considérés comme des vulnérabilités. En général, les défauts suivants n'entraînent pas de faille de sécurité, et on te demande de ne pas nous les signaler :

  • Les défauts qui n'affectent pas la disponibilité, l'intégrité ou la confidentialité des données.
  • La disponibilité de la fonctionnalité xmlrpc.php de WordPress quand son abus se limite à ce qu'on appelle une attaque par déni de service "pingback".
  • La possibilité d'utiliser du cross-site scripting sur un site statique ou un site qui ne traite aucune donnée sensible (utilisateur).
  • La disponibilité d'informations de version, par exemple via un fichier info.php. Une exception possible dans ce cas est quand ces informations révèlent que le système utilise un logiciel contenant des vulnérabilités connues.
  • L'absence d'en-têtes de sécurité HTTP utilisés par des mécanismes comme le Cross-Origin Resource Sharing (CORS), sauf si cette absence provoque clairement un problème de sécurité.
  • Les certificats comme SSL ou les noms de domaine qui sont sur le point d'expirer.

Si tu as un doute sur le fait que le défaut que tu as trouvé entre dans l'une de ces exceptions, tu peux quand même nous le signaler.

On va ensuite déterminer si le défaut constitue une vulnérabilité et prendre les mesures appropriées. ## Comment soumettre une divulgation de vulnérabilité ? Suis ces étapes : - Remplis le [formulaire de contact](CONTACTPAGE) et dis-nous ce que tu as trouvé. - Dans ton rapport, décris le plus clairement possible comment reproduire le problème, ça nous aidera à accélérer le processus. En général, l'adresse IP ou l'URL du système concerné et une description de la vulnérabilité suffisent, mais pour des failles plus complexes, on pourrait avoir besoin de plus d’infos. Dans ce cas, on te contactera. - Au minimum, donne-nous une adresse e-mail ou un numéro de téléphone pour qu’on puisse te joindre en cas de question. On préfère communiquer par e-mail. Assure-toi de : - Signaler la vulnérabilité dès que tu la découvres. - Ne parler à personne d’autre de ce problème de sécurité avant qu’on te confirme qu’il est résolu. - Gérer les informations sur la vulnérabilité de manière responsable, par exemple en n’entreprendre aucune autre action que celles nécessaires pour démontrer la faille. ### Qu’est-ce qu’il ne faut surtout pas faire ? Il ne faut jamais : - Introduire un logiciel malveillant dans le système. - Copier, modifier ou supprimer des données du système. - Apporter des modifications au système. - Accéder au système de manière répétée ou partager cet accès avec d’autres. - Effectuer des attaques par force brute pour accéder à un système. - Réaliser des attaques par déni de service ou de l’ingénierie sociale. ### Les principes de notre politique de divulgation - Si tu suis la procédure pour soumettre ton rapport, il n’y aura aucune conséquence légale. On traitera ton signalement de façon confidentielle et on ne partagera pas tes infos personnelles sans ton accord, sauf obligation légale. - On ne te citera comme découvreur de la vulnérabilité que si tu nous en donnes l’autorisation. - On accusera réception de ton rapport sous un jour ouvré, puis on t’enverra une évaluation sous trois jours ouvrés. On te tiendra aussi au courant de l’avancement de la résolution du problème. - Notre équipe de sécurité s’efforcera de résoudre le problème que tu as signalé dans un délai max de 60 jours. Une fois réglé, on discutera avec toi pour décider si et comment publier les détails du problème et sa solution. - Notre équipe te proposera aussi une récompense pour te remercier de ton aide. Ça peut aller d’un café, à un t-shirt, ou des chèques-cadeaux, selon la gravité de la vulnérabilité et la qualité de ton rapport. Pour pouvoir recevoir une récompense, ton signalement doit concerner une faille de sécurité sérieuse que notre équipe n'a jamais rencontrée auparavant.

Louer

Kilométrage: km