Divulgation responsable
Chez Musoni, nous considérons la sécurité de nos systèmes comme une priorité absolue. Mais quels que soient les efforts déployés pour assurer la sécurité du système, il peut toujours y avoir des vulnérabilités.
Si vous découvrez une vulnérabilité, nous aimerions en être informés afin de pouvoir prendre des mesures pour y remédier le plus rapidement possible. Nous aimerions vous demander de nous aider à mieux protéger nos clients et nos systèmes.
Qu’attend-on de vous ?
Vous pouvez signaler des vulnérabilités dans nos services, par exemple :
- Vulnérabilités de type « Cross-Site Scripting » (XSS).
- Faille d’injection SQL.
- Points faibles dans la mise en place de connexions sécurisées.
Veuillez expliquer le problème de la manière la plus claire et la plus complète possible.
Exceptions
Si la vulnérabilité présente un risque faible ou accepté, Musoni peut décider de ne pas récompenser sa divulgation. Des exemples de ces vulnérabilités sont énumérés ci-dessous :
- Codes HTTP 404 ou autres codes non HTTP 200
- Les caractères run-on insérés dans les pages 404
- Bannières de version sur les services publics
- Fichiers et dossiers accessibles au public contenant des informations non sensibles
- Click jacking sur les pages sans fonction de connexion
- Falsification des requêtes intersites (CSRF) sur les formulaires accessibles de manière anonyme
- Absence de drapeaux « sécurisé » / « HTTP Only » sur les cookies non sensibles
- Utilisation de la méthode HTTP OPTIONS
- Injection d’en-tête d’hôte
- Absence d’enregistrements SPF, DKIM et DMARC
- Absence de DNSSEC
L’absence d’un ou de plusieurs des en-têtes de sécurité HTTP suivants :
- Sécurité des transports stricts (HSTS)
- Épinglage de la clé publique HTTP (HPKP)
- Politique de sécurité du contenu (PSC)
- Options X-Content-Type
- Options du cadre X
- Kit X-Web CSP
- Protection contre les X-XSS
Veuillez procéder comme suit :
- Envoyez vos résultats par courrier électronique à disclosure@musonisystem.com.
- Ne tirez pas profit de la vulnérabilité ou du problème que vous avez découvert, par exemple en téléchargeant plus de données que nécessaire pour démontrer la vulnérabilité ou en supprimant ou modifiant les données d’autres personnes,
- Ne révélez pas le problème à d’autres personnes tant qu’il n’a pas été résolu,
- Ne pas utiliser d’attaques contre la sécurité physique, d’ingénierie sociale, de déni de service distribué, de spam ou d’applications de tiers, et
- Fournissez suffisamment d’informations pour reproduire le problème, afin que nous puissions le résoudre le plus rapidement possible. En général, l’adresse IP ou l’URL du système affecté et une description de la vulnérabilité suffisent, mais les vulnérabilités complexes peuvent nécessiter des explications supplémentaires.
Ce que nous promettons :
- Nous répondrons à votre rapport dans un délai de trois jours ouvrables en vous communiquant notre évaluation du rapport et une date de résolution prévue,
- Si vous avez suivi les instructions ci-dessus, nous n’entreprendrons aucune action en justice contre vous en ce qui concerne le rapport,
- Nous traiterons votre rapport dans la plus stricte confidentialité et ne transmettrons pas vos données personnelles à des tiers sans votre autorisation,
- Nous vous tiendrons informé de l’évolution de la résolution du problème,
- Dans les informations publiques concernant le problème signalé, nous indiquerons votre nom en tant que découvreur du problème (à moins que vous ne souhaitiez qu’il en soit autrement), et
- Pour vous remercier de votre aide, nous offrons une récompense pour chaque signalement d’un problème de sécurité dont nous n’avions pas encore connaissance. Le montant de la récompense sera déterminé en fonction de la gravité de la fuite et de la qualité du rapport.
Nous nous efforçons de résoudre tous les problèmes le plus rapidement possible et nous souhaitons jouer un rôle actif dans la publication finale du problème après sa résolution.