Politique en matière de divulgation des vulnérabilités

Introduction

Chez LEOSAC, la sécurité numérique est un sujet important, que ce soit pour nos propres systèmes de communication et d’information, ou pour les logiciels et services que nous développons et fournissons.

Cependant, malgré tous les efforts déployés, les vulnérabilités ne peuvent jamais être totalement éliminées. Leur identification et leur exploitation mettent en péril la confidentialité, l’intégrité ou la disponibilité des systèmes LEOSAC et des informations qui y sont traitées, et pire encore, elles peuvent menacer celles de nos clients/utilisateurs installant nos logiciels.

Cette politique de divulgation des vulnérabilités décrit les systèmes et les types de tests autorisés, ainsi que les modalités d’envoi des rapports de vulnérabilité. Nous vous encourageons à nous contacter pour signaler d’éventuels problèmes de sécurité dans nos systèmes en suivant cette politique.

Autorisation

Si vous agissez de bonne foi pour identifier et signaler des vulnérabilités sur les logiciels LEOSAC, tout en respectant cette politique, nous collaborerons avec vous pour comprendre et résoudre rapidement les problèmes.
LEOSAC n’engagera aucune action en justice liée à vos activités d’identification de vulnérabilités sur nos systèmes et logiciels, tant que vous respectez les directives de cette politique.

Portée

Cette politique s’applique à tous les systèmes Internet et logiciels de LEOSAC, y compris

  • l’ensemble de la présence Web
    • *.leosac.com/*
  • tout logiciel développé et publié par LEOSAC

Tous les services non expressément mentionnés ci-dessus sont exclus du périmètre et ne sont pas autorisés à être testés.
De plus, les vulnérabilités détectées dans les systèmes d’autres fournisseurs, y compris les dépendances de bibliothèques tierces, sont également exclues du périmètre et doivent être signalées directement au mainteneur, conformément à sa propre politique de divulgation (le cas échéant). L’identification et la correction de ces vulnérabilités de dépendance au sein du logiciel LEOSAC font partie intégrante de notre processus de qualité logicielle, grâce à une livraison continue et à une analyse automatisée.

Lignes directrices

Dans l’exercice de vos activités, il est impératif que vous

  • ne profitez pas de la vulnérabilité ou du problème que vous avez découvert, par exemple en téléchargeant plus de données que nécessaire pour démontrer la vulnérabilité, en supprimant ou en modifiant les données d’autres personnes
  • utilisez uniquement des exploits inoffensifs pour confirmer la présence d’une vulnérabilité
  • ne divulguez aucune donnée téléchargée lors de la découverte au public ou à d’autres parties
  • ne révélez pas la vulnérabilité ou le problème au public ou à d’autres parties jusqu’à ce qu’il soit résolu
  • arrêtez vos tests lorsque vous découvrez des informations sensibles et prévenez-nous immédiatement et ne divulguez aucune donnée obtenue à qui que ce soit d’autre

N’effectuez pas les actions suivantes

  • placer un logiciel malveillant (virus, ver, cheval de Troie, etc.) sur n’importe quel système
  • compromettre tout système en utilisant des exploits pour obtenir un contrôle total ou partiel
  • copier, modifier ou supprimer des données du système
  • apporter des modifications au système
  • accéder de manière répétée au système ou partager l’accès avec d’autres parties publiques
  • utiliser tout accès obtenu pour tenter d’accéder à d’autres systèmes
  • modifier les droits d’accès des autres utilisateurs
  • utiliser des outils d’analyse automatisés
  • utiliser une attaque dite « force brute » pour accéder à n’importe quel système
  • utiliser le déni de service ou l’ingénierie sociale (phishing, vishing, spam, etc.)
  • utiliser des attaques sur la sécurité physique

Signaler une vulnérabilité

Ce que nous aimerions voir de vous

Si vous avez identifié une vulnérabilité, veuillez

  • envoyez vos conclusions par e-mail dès que possible à security@leosac.com , en précisant si vous acceptez ou non que votre nom ou pseudonyme soit rendu public en tant que découvreur du problème
  • fournissez-nous suffisamment d’informations pour reproduire le problème et le résoudre au plus vite. En général, l’adresse IP ou l’URL du système affecté, la ligne de code spécifique de la pile d’appels open source ou désassemblée, le cas échéant, et une description de la vulnérabilité suffisent. Cependant, les vulnérabilités complexes peuvent nécessiter des explications plus détaillées, notamment des informations techniques ou un code de validation de principe.
  • fournir votre rapport en anglais ou en français

Ce que vous pouvez attendre de nous

En retour, nous vous promettons ce qui suit lorsque vous nous signalez une vulnérabilité (si vous êtes un humain), c’est-à-dire

  • répondre à votre rapport dans un délai de cinq (5) jours ouvrables avec notre évaluation du rapport
  • traiter votre rapport avec une stricte confidentialité
  • si possible, vous informer lorsque la vulnérabilité a été corrigée
  • traiter les données personnelles que vous fournissez (telles que votre adresse e-mail et votre nom) conformément à la législation applicable en matière de protection des données et ne transmettra pas vos données personnelles à des tiers sans votre autorisation
  • publier votre nom en tant que découvreur du problème, si vous avez accepté cela dans votre e-mail initial, lorsque et si nous divulguons le problème publiquement

Reconnaissance et récompenses

Nous serons toujours reconnaissants de tout signalement. Cependant, nous opérons une distinction selon la nature du signalement. Les cas suivants devraient réduire vos attentes à notre égard :

  • analyse, rapport et envoi d’e-mails automatisés : si vous utilisez uniquement un outil automatisé pour envoyer des e-mails aux entreprises et aux porteurs de projets, n’attendez pas nécessairement une réponse humaine de notre part. Cela peut néanmoins s’avérer utile, car vous pourriez utiliser d’autres outils, voire de meilleurs outils, que les nôtres.
  • vulnérabilité potentielle basée uniquement sur les meilleures pratiques, sans démonstration dans notre contexte spécifique.

Nous n’avons pas de politique de récompense pour la découverte de vulnérabilités.

 

Divulgation publique

La divulgation publique de la description de la vulnérabilité est déconseillée avant que le correctif de sécurité ne soit disponible.

Quelle que soit la base de données de vulnérabilités utilisée pour la divulgation publique (CVE, EUVD, …), nous coordonnerons le rapport d’incident avec l’agence CERT-FR et communiquerons aux clients LEOSAC actifs (ex : avec une maintenance active) par courrier direct.