WORKSECTION

Politique de divulgation des vulnérabilités

Intro­duc­tion

Cette Poli­tique de divul­ga­tion des vul­néra­bil­ités (VDP) s’ap­pliqué à toutes les vul­néra­bil­ités que vous envis­agez de sig­naler à Work­sec­tion. Veuillez lire cette VDP dans son inté­gral­ité avant de sig­naler une vul­néra­bil­ité, et agis­sez tou­jours en con­for­mité avec celle-ci.

Nous appré­cions grande­ment les per­son­nes qui con­sacrent leur temps et leurs efforts à divulguer de manière respon­s­able les vul­néra­bil­ités de sécu­rité con­for­mé­ment à cette poli­tique. Nous remer­cions les chercheurs qui nous aident dans nos efforts de sécu­rité et vous exp­ri­mons notre grat­i­tude d’a­vance pour votre soumis­sion et votre discrétion.

Vos tests né doivent enfrein­dre aucune loi ni per­turber ou com­pro­met­tre des don­nées qui né vous appar­ti­en­nent pas. Si vous trou­vez une vul­néra­bil­ité poten­tielle per­me­t­tant d’ac­céder à des don­nées ou ressources restreintes, vous devez nous en informer immé­di­ate­ment — né con­tin­uez pas à enquêter sur la vul­néra­bil­ité vous-même.

Portée

Cette poli­tique s’ap­pliqué au domaine suiv­ant : https://​work​sec​tion​.com/

Ori­en­ta­tion

Bien que nous encour­a­gions vive­ment la décou­verte et le sig­nale­ment respon­s­ables des vul­néra­bil­ités, cer­taines actions sont stricte­ment inter­dites. Veuillez vous abstenir de vous engager dans les activ­ités suivantes :
  • Effectuer des actions qui pour­raient avoir un impact négatif sur l’en­tre­prise ou ses util­isa­teurs, comme le spam, réalis­er des attaques par force brute ou lancer des attaques par déni de ser­vice. De même, évitez les tests qui peu­vent nuire à l’ac­cès au sys­tème ou causer des dom­mages aux données.
  • Accéder ou ten­ter d’ac­céder à des don­nées ou infor­ma­tions qui né vous appar­ti­en­nent pas. Il est impor­tant de respecter les lim­ites de l’ac­cès autorisé.
  • Détru­ire, cor­rompre ou ten­ter de détru­ire ou de cor­rompre des don­nées ou infor­ma­tions qui né vous appar­ti­en­nent pas. Pro­tégez l’in­tégrité et la con­fi­den­tial­ité des données.
  • Utilis­er des out­ils de scan invasifs ou destruc­teurs à haute inten­sité dans le but d’i­den­ti­fi­er des vul­néra­bil­ités. De tels out­ils né devraient pas être employés car ils peu­vent causer des per­tur­ba­tions indésirables.
  • Par­ticiper à des tests physiques, y com­pris ten­ter d’ac­céder aux bureaux, exploiter des portes ouvertes ou suiv­re quelqu’un. Les tech­niques d’ingénierie sociale, telles que le phish­ing ou le vish­ing, sont égale­ment inter­dites. Con­cen­trez-vous unique­ment sur le test de vul­néra­bil­ité technique.
  • Effectuer des activ­ités d’ingénierie sociale visant les mem­bres de l’équipe de l’en­tre­prise, les con­tractuels ou les util­isa­teurs. Respectez la vie privée et la con­fi­ance des per­son­nes asso­ciées à notre organisation.
  • Enfrein­dre des lois ou vio­l­er des accords dans votre quête de décou­verte de vul­néra­bil­ités. Respectez les lim­ites légales et éthiques tout au long du processus.
En respec­tant ces direc­tives, vous garan­tis­sez que vos activ­ités de décou­verte de vul­néra­bil­ités sont menées de manière respon­s­able et légale.

Exclu­sions de la portée

Les résul­tats suiv­ants sont spé­ci­fique­ment non-rémunérables dans le cadre de ce programme :
  • Divul­ga­tion de fichiers ou de réper­toires publics con­nus (par exem­ple, robots.txt)
  • Click­jack­ing et cer­tains prob­lèmes exploita­bles unique­ment par clickjacking
  • Vol de ses­sion Cross-Site Request Forgery (logout CSRF)
  • Captcha faible
  • Absence de dra­peaux de cook­ie Secure et HTTPOnly
  • Mau­vaise con­fig­u­ra­tion ou absence d’en­reg­istrements SPF/DKIM
  • Absence de meilleures pra­tiques SSL/TLS
  • Vul­néra­bil­ités DDoS
  • Man­qué d’en-têtes de sécu­rité HTTP, par exem­ple : Strict-Trans­port-Secu­ri­ty, X‑Frame-Options, X‑XSS-Pro­tec­tion, X‑Con­tent-Type-Options, Con­tent-Secu­ri­ty-Pol­i­cy, X‑Con­tent-Secu­ri­ty-Pol­i­cy, X‑We­bKit-CSP, Content-Security-Policy-Report-Only
  • Ver­sions de logi­ciels obsolètes
  • Vul­néra­bil­ités affec­tant des util­isa­teurs de nav­i­ga­teurs ou plate­formes obsolètes
  • Ingénierie sociale, phish­ing, activ­ité physique ou autres activ­ités frauduleuses
  • Self-XSS qui né peut pas être util­isé pour exploiter d’autres utilisateurs
  • Vul­néra­bil­ités dans des com­posants tiers
  • Bugs néces­si­tant une inter­ac­tion util­isa­teur extrême­ment peu probable
  • Usurpa­tion de con­tenu et prob­lèmes d’in­jec­tion de texte sans vecteur d’at­taque réel et/​ou sans pos­si­bil­ité de mod­i­fi­er le HTML
  • Prise de con­trôle de sous-domaines sans preuve de concept
  • Domaines squat­tés ou toute autre spécu­la­tion de domaine
  • Vul­néra­bil­ités néces­si­tant un accès physique à l’ap­pareil d’un utilisateur
  • Rap­ports de vul­néra­bil­ité générés par des scan­ners ou tout out­il d’ex­ploita­tion automa­tisé ou actif
  • Vul­néra­bil­ités impli­quant du con­tenu act­if, tel que des mod­ules com­plé­men­taires de nav­i­ga­teur web
  • Denis de ser­vice (DoS/​DDoS) et spam (SMS, e‑mail, etc.)
  • La plu­part des prob­lèmes de force brute sans impact clair
  • Pan­neaux de con­nex­ion acces­si­bles publique­ment sans preuve d’exploitation
  • Divul­ga­tion d’in­for­ma­tions publiques sur les util­isa­teurs, ain­si que d’in­for­ma­tions non sen­si­bles et mod­éré­ment sensibles

Sig­nale­ment d’une vulnérabilité

Si vous avez décou­vert une poten­tielle vul­néra­bil­ité de sécu­rité sur notre plate­forme, nous vous pri­ons de bien vouloir la sig­naler directe­ment à l’équipe de sécu­rité de l’en­tre­prise par e‑mail à security@​worksection.​ua. Cela garan­tit que votre rap­port nous parvi­enne rapi­de­ment, nous per­me­t­tant de répon­dre plus effi­cace­ment. Veuillez vous abstenir d’en­voy­er le rap­port à notre adresse e‑mail générale ou par le biais du chat de support.

Pour main­tenir la con­fi­den­tial­ité de la vul­néra­bil­ité, nous vous deman­dons d’éviter de dépos­er un prob­lème pub­lic ou d’en dis­cuter sur les plate­formes de médias soci­aux telles que Twit­ter ou GitHub. Nous appré­cions votre coopéra­tion pour garder la com­mu­ni­ca­tion con­cer­nant la vul­néra­bil­ité con­fi­den­tielle entre vous et notre équipe. Veuillez vous abstenir de partager vos rap­ports ou toute preuve avec d’autres util­isa­teurs ou entreprises.

En soumet­tant un rap­port de vul­néra­bil­ité, veuillez vous assur­er qu’il com­prend les infor­ma­tions essen­tielles suiv­antes :
  • Titre clair et per­ti­nent. Four­nissez un titre con­cis et descrip­tif qui reflète pré­cisé­ment la nature de la vulnérabilité.
  • Service/​API affec­té. Indiquez claire­ment le ser­vice ou l’API spé­ci­fique qui est affec­té par la vul­néra­bil­ité. Cela nous aide à com­pren­dre rapi­de­ment l’am­pleur du problème.
  • Détails et impact de la vul­néra­bil­ité. Expliquez en détail la vul­néra­bil­ité, y com­pris ses détails tech­niques et son impact poten­tiel sur nos sys­tèmes ou util­isa­teurs. Four­nissez suff­isam­ment d’in­for­ma­tions pour nous aider à com­pren­dre la nature et la grav­ité de la vulnérabilité.
  • Étapes pour repro­duire / Preuve de con­cept. Incluez des instruc­tions détail­lées sur la façon de repro­duire la vul­néra­bil­ité, de préférence accom­pa­g­nées d’une preuve de con­cept (PoC). La PoC peut pren­dre divers­es formes telles qu’une démon­stra­tion vidéo, des cap­tures d’écran d’outils comme Burp Suite, des com­man­des curl, ou des extraits de code per­ti­nents. Ces matéri­aux nous aident à véri­fi­er et à mieux com­pren­dre la vulnérabilité.
  • Tous les autres détails impor­tants. N’hésitez pas à inclure toute infor­ma­tion sup­plé­men­taire que vous jugez per­ti­nente ou utile pour notre com­préhen­sion de la vul­néra­bil­ité. Cela peut inclure des con­fig­u­ra­tions de sys­tème, des jour­naux per­ti­nents ou toute autre doc­u­men­ta­tion de sup­port pou­vant aider dans le proces­sus de résolution.
En four­nissant un rap­port com­plet qui inclut ces élé­ments, vous nous aidez grande­ment à éval­uer et traiter effi­cace­ment la vul­néra­bil­ité signalée.

Que se passé-t-il après avoir sig­nalé une vulnérabilité

Après avoir soumis votre rap­port, nous l’analy­serons en ter­mes d’im­pact, de grav­ité et de com­plex­ité d’ex­ploita­tion. Si nous le con­sid­érons per­ti­nent, nous vous répon­drons dans les quinze (15) jours ouvrables. Nous vous tien­drons infor­mé de nos progrès.

Une fois que la vul­néra­bil­ité sig­nalée est cor­rigée, nous vous en informerons, et vous pour­rez être invité à con­firmer que la solu­tion cou­vre adéquate­ment la vul­néra­bil­ité. Nous accueil­lons les deman­des de divulguer votre rap­port une fois votre vul­néra­bil­ité résolue. Cepen­dant, veuillez vous abstenir de partager des infor­ma­tions sur d’éventuelles vul­néra­bil­ités décou­vertes pen­dant 90 jours cal­endaires après avoir reçu notre con­fir­ma­tion de récep­tion de votre rapport.

Récom­pens­es

Nous né pro­posons générale­ment pas de récom­pens­es en espèces pour les soumis­sions. Cepen­dant, nous pour­rions faire une excep­tion dans le cas de bugs cri­tiques valides et de rap­ports de haute qual­ité. Le mon­tant de la récom­pense sera déter­miné en fonc­tion de l’im­pact max­i­mal de la vul­néra­bil­ité. Les rap­ports bien écrits et jugés utiles ont plus de chances d’être con­sid­érés pour une récompense.

Veuillez not­er que seule la pre­mière per­son­ne à sig­naler une faille aupar­a­vant incon­nue sera éli­gi­ble à une récompense.

Accord de recommandation

. . . .

Accord de partenariat

. . . .

Politique de confidentialité

. . . .

Politique de cookies

. . . .

Liste des sous-traitants

. . . .

Addendum de traitement des données (DPA)

. . . .

Contrat d'utilisateur

. . . .