+33 (0)1 8695 8660
Politique de divulgation responsable
Participez de façon responsable à la remontée de failles de sécurité ou vulnérabilités

Divulgation responsable des failles de sécurité

Politique mise à jour le 13 juin 2016

Politique de divulgation responsable

Les informations de cette page sont destinées aux chercheurs en sécurité qui souhaitent informer l'équipe AKAOMA de l'existence de failles de sécurité.

Si vous pensez que vous avez découvert une faille de sécurité dans une propriété, un site Web ou une application proposée par AKAOMA, nous vous encourageons vivement à le signaler le plus vite possible et à ne pas révéler la faille au public jusqu'à ce qu'elle soit corrigée. Nous apprécions votre aide et nous examinons tous les rapports en nous efforçant de résoudre les vulnérabilités au plus vite. Afin d'encourager la divulgation responsable, AKAOMA ne vous intentera aucun procès et ne demandera à aucun organisme chargé de l'application de la loi d'enquêter sur vous si nous estimons la divulgation conforme aux instructions suivantes.

Instructions relatives à la divulgation responsable

  • Informez AKAOMA et fournissez-nous les détails de la faille de sécurité. Accordez-nous un délai raisonnable pour corriger la vulnérabilité avant de la révéler au public.
  • Fournissez assez de détails sur la faille de sécurité pour nous permettre d'identifier et de reproduire le problème. Ces détails doivent inclure les URL cibles, les paires de requêtes/réponses, les captures d'écran et toute autre information.
  • Nous confirmerons votre adresse e-mail et nous évaluerons la validité et la reproductibilité du problème. Nous nous efforcerons de résoudre les problèmes valides et nous vous tiendrons informé de l'avancement.
  • Faites votre possible pour éviter la perturbation du service (par exemple, les dénis de service), les failles de confidentialité (c'est-à-dire l'accès aux données d'un client AKAOMA) et la destruction de données lorsque vous recherchez les vulnérabilités.
  • Ne demandez pas de compensation pour les rapports de failles de sécurité, à AKAOMA ou sur un marché externe de failles de sécurité.
  • Ne pratiquez pas le hameçonnage ou le piratage psychologique à l'encontre des employés ou des clients de AKAOMA.
  • N'exécutez pas d'outil d'analyse automatique pour nous envoyer les résultats sans avoir confirmé la présence du problème. Les outils de sécurité renvoient souvent des faux positifs qui doivent être confirmés par le rapporteur.

Les catégories de failles de sécurité qui nous intéressent

Pour un environnement plus sûr

Nous sommes principalement intéressés par les catégories de failles de sécurité suivantes :

  • Cross-Site Scripting (XSS)
  • Falsification de requête intersite (CSRF)
  • Problèmes d'authentification
  • Problèmes d'autorisation
  • Compromission de données
  • Attaques de redirection
  • Exécution de code à distance
  • Techniques d'exploitation de failles particulièrement difficiles ou problèmes uniques qui n'entrent dans aucune catégorie explicite

Catégories de failles de sécurité sortant du cadre du programme

Les catégories de failles de sécurité suivantes sont considérées comme hors du cadre de notre programme de divulgation responsable et leurs rapporteurs ne pourront pas être inclus dans notre liste de chercheurs pour la divulgation de ces failles.

  • Failles du protocole de sécurité SSL liées à la configuration ou à la version
  • Déni de service (DoS)
  • Énumération des utilisateurs
  • Attaques par force brute
  • Indicateur sécurisé non défini sur des cookies non sensibles
  • Indicateur HTTPOnly non défini sur des cookies non sensibles
  • Déconnexion par falsification de requête intersite (CSRF)
  • Problèmes présents uniquement sur les navigateurs, plug-ins ou logiciels de navigation anciens ou en fin de vie
  • Méthode HTTP TRACE activée
  • Rapports de failles de sécurité liés aux numéros de version déclarés des serveurs, des services ou des frameworks Web
  • Détournement de clic (clickjacking) sur des pages sans authentification et/ou changement d'état sensibleb
  • Rapports de failles de sécurité qui demandent à des utilisateurs une coopération considérable afin de reproduire des actions improbables ou excessives qui seraient plus symptomatiques d'une ingénierie sociale ou d'une attaque de hameçonnage que d'une faille de sécurité dans l'application (par exemple, désactiver des fonctions de sécurité du navigateur, envoyer des informations critiques à l'attaquant afin qu'il puisse mener l'attaque, guider l'utilisateur le long d'un processus particulier et lui demander d'entrer un code malveillant lui-même, etc.)

Comment signaler une faille de sécurité

Veuillez envoyer un e-mail à audit [at] akaoma.com pour signaler des failles de sécurité à AKAOMA. Vous pouvez également utiliser notre formulaire d'identification de failles de sécurité et vulnérabilités. Notre équipe vous recontactera dans les meilleurs délais dès analyse des éléments que vous nous aurez communiqué.

Chercheurs ayant participé à la recherche de failles

Aucun remontée significative communiquée à ce jour.

Newsletter Cybersécurité

Restez informé: recevez régulièrement les nouveautés et évènements en matière de cybersécurité et sécurité informatique.
En renseignant votre adresse email, vous acceptez de recevoir nos derniers articles de blog par courrier électronique et vous prenez connaissance de notre Politique de Confidentialité. Vous pouvez vous désinscrire à tout moment.

Notre expertise cybersécurité validée par de multiples certifications internationales

certifications sécurité informatique AKAOMA