Divulgation des vulnérabilités

Dernière mise à jour: 31 octobre 2024.

Introduction

Cette politique de divulgation des vulnérabilités s'applique à toutes les vulnérabilités que vous envisagez de signaler à Backorder Ltd (« nous », « notre » ou « nos »).

Nous vous recommandons de lire cette politique de divulgation des vulnérabilités dans son intégralité avant de signaler une vulnérabilité et de toujours agir en conformité avec elle.

Nous apprécions ceux qui prennent le temps et font l'effort de signaler les failles de sécurité conformément à cette politique. Toutefois, nous n'offrons pas de récompenses monétaires pour la divulgation de vulnérabilités.

Champ d'application

https://backorder.com

Signalement

Si vous pensez avoir trouvé une faille de sécurité concernant notre site web, veuillez soumettre un rapport de vulnérabilité en anglais, à l'adresse définie dans le fichier security.txt publié.

Votre rapport doit inclure ;

  • L'URL du site web ou la page où la vulnérabilité peut être observée
  • Une brève description du type de vulnérabilité
  • Les étapes à suivre pour reproduire la vulnérabilité. Il doit s'agir d'une preuve de concept bénigne et non destructive. Cela permet de s'assurer que le rapport peut être trié rapidement et avec précision.

Ce qui vous attend

Une fois que vous aurez soumis votre rapport, nous vous répondrons dans les 5 jours ouvrables et nous nous efforcerons de trier votre rapport dans les 10 jours ouvrables. Nous nous efforcerons également de vous tenir informé de nos progrès.

La priorité des mesures correctives est évaluée en fonction de l'impact, de la gravité et de la complexité de l'exploit. Le triage et le traitement des rapports de vulnérabilité peuvent prendre un certain temps. Vous pouvez vous renseigner sur l'état de la situation, mais évitez de le faire plus d'une fois tous les 14 jours. Cela nous permet de nous concentrer sur les mesures correctives.

Nous vous informerons lorsque la vulnérabilité signalée aura été corrigée, et vous pourrez être invité à confirmer que la solution couvre la vulnérabilité de manière adéquate.

Une fois que votre vulnérabilité a été résolue, nous acceptons les demandes de divulgation de votre rapport. Nous aimerions unifier nos orientations, alors continuez à coordonner la diffusion publique avec nous.

Conseils

Vous ne devez PAS :

  • Enfreindre les lois et règlements en vigueur.
  • Accéder à des quantités inutiles, excessives ou importantes de données.
  • Modifier les données dans nos systèmes ou services.
  • Utiliser des outils de balayage invasifs ou destructeurs à haute intensité pour trouver des vulnérabilités.
  • Tenter ou signaler toute forme de déni de service, par exemple en submergeant un service avec un volume élevé de demandes.
  • Perturber nos services ou nos systèmes.
  • Soumettre des rapports détaillant des vulnérabilités non exploitables ou des rapports indiquant que les services ne sont pas entièrement conformes aux « meilleures pratiques », par exemple des en-têtes de sécurité manquants.
  • Soumettre des rapports détaillant les faiblesses de la configuration TLS, par exemple la prise en charge d'une suite de chiffrement « faible » ou la présence d'une prise en charge TLS1.0.
  • Communiquer toute vulnérabilité ou tout détail associé autrement que par les moyens décrits dans le fichier security.txt publié.
  • Faire de l'ingénierie sociale, de l'hameçonnage ou attaquer physiquement notre personnel ou notre infrastructure.
  • Exiger une compensation financière afin de divulguer des vulnérabilités.

Vous devez :

  • Toujours respecter les règles de protection des données et ne pas porter atteinte à la confidentialité des données que nous détenons. Vous ne devez pas, par exemple, partager, redistribuer ou ne pas sécuriser correctement les données extraites des systèmes ou des services.
  • Supprimer en toute sécurité toutes les données récupérées au cours de vos recherches dès qu'elles ne sont plus nécessaires ou dans un délai d'un mois à compter de la résolution de la vulnérabilité, selon ce qui se produit en premier (ou selon les exigences de la loi sur la protection des données)..

Législation

Cette politique est conçue pour être compatible avec les bonnes pratiques courantes en matière de divulgation de vulnérabilités. Elle ne vous autorise pas à agir d'une manière incompatible avec la loi ou qui pourrait nous amener à manquer à nos obligations légales.