Programme de divulgation de vulnérabilité


iPaidThat apprécie et respecte le travail des chercheurs en sécurité qui ont pour mission de renforcer la sécurité de nos produits et services. Nous nous engageons à travailler avec ces partenaires de qualité pour analyser, vérifier et répondre à tous types de vulnérabilités portées à notre connaissance.

Des investigations poussées seront menées sur tous les risques légitimes qui nous seront rapportés et des mesures seront prises pour y remédier dans les plus brefs délais. Pour encourager les signalements responsables, nous n’intenterons aucune actions légales contre vous suite à un quelconque signalement. Néanmoins, vos signalements doivent respecter les règles de divulgations suivantes:

  • Fournir des détails sur la faille constatée, notamment des informations permettant de reproduire et d’analyser la faille ainsi qu’une “Preuve de Concept”.

  • Efforcez-vous de ne pas violer le principe de vie privée, de ne pas détruire des données, ainsi que de dégrader ou interrompre nos services.

  • Ne modifiez, ni ne consultez des données qui ne vous appartiennent pas.

  • Après avoir signalé une faille, laissez un temps raisonnable à iPaidThat pour la corriger avant de la rendre publique.

 

La recherche de vulnérabilité concernent:

 

Nous sommes particulièrement intéressés par les vulnérabilités concernant les domaines suivants:

  • Exposition de données confidentielles - Cross Site Scripting (XSS), attaque par injection SQL, etc. 

  • Problèmes concernant l’authentification ou la gestion de session.

  • Exécution de codes à distance.

 

Ces points sont hors du périmètre de validation:

Les vulnérabilités suivantes sont hors de notre périmètre et ne devraient pas être au centre des préoccupations des contributeurs:

  • Attaque par déni de service.

  • Dysfonctionnement présent seulement sur des moteurs de recherche et plugins anciens, ou sur des logiciels obsolètes

  • Hameçonnage ou ingénierie sociale sur des employés ou clients d’iPaidThat

  • Problèmes liés à des fournisseurs de logiciels tiers utilisés par iPaidThat.

  • Divulgation d’informations connues du public ou qui ne présentent pas de risques matériels.

  • Attaque provenant de l’ordinateur d’un utilisateur qui aurait été compromis.

  • Signalement venant d’outils ou scans automatiques.

  • DNSSEC.

  • Lié au HSTS.

  • Lacunes en matière de sécurité qui ne provoquent pas vulnérabilité.

  • Attaque physique sur des infrastructures. 

  • Attaques théoriques.

  • TLS/SSL fracturé. 

  • Navigateur ou système compromis.

  • DNS obsolètes redirigeant sur des systèmes qui n’appartiennent pas à iPaidThat

 

Récompenses pour signalement de vulnérabilités 

Notre programme public de signalement ne prévoit aucune récompense financière pour ce travail de recherche. Néanmoins, iPaidThat vous assure de sa gratitude éternelle. Si vous êtes chercheur de “Bug Crowd”, vous pouvez nous ne le faire savoir pour recevoir gloire et lauriers !

 

Signaler une vulnérabilité, comment faire ? 

Si vous constatez une vulnérabilité, merci de nous contacter via le mail security@ipaidthat.io. iPaidThat note généralement une vulnérabilité en se basant sur Vulnerability Rating Taxonomy (VRT)