Politique de divulgation responsable

09-09-2024

Nous veillons à ce que notre logiciel et les données que nous collectons soient aussi sûrs que possible. Si vous avez découvert une faille de sécurité, nous vous demandons pas pour le partager publiquement, mais pour le partager avec nous. Merci de nous envoyer un e-mail à dev@secretview.io et incluez les informations suivantes :

  • La nature de la vulnérabilité
  • Description de la vulnérabilité
  • Comment reproduire la vulnérabilité
  • Le (s) navigateur (s) et la (les) version (s) que vous avez testés
  • Le ou les systèmes d'exploitation et les versions que vous avez testés

S'il vous plaît, incluez également quelque chose à propos de vous :

  • Nom
  • Courrier électronique
  • Adresse
  • L'expérience

Jouez selon ces règles :

  • Ne supprimez pas, n'accédez pas ou ne tentez pas de supprimer ou d'accéder à des données auxquelles vous n'êtes pas autorisé à accéder
  • Ne perturbez pas ou ne tentez pas de perturber nos services
  • N'accédez à aucune donnée et ne la modifiez pas
  • N'exécutez pas ou ne tentez pas d'exécuter une attaque par déni de service (DoS)
  • N'exécutez aucun outil automatisé sur nos serveurs sans coordination préalable
  • N'abusez pas ou ne tentez pas d'abuser des ressources de nos serveurs
  • Ne partagez aucun détail public sur le problème
  • N'essayez pas de nous faire chanter ou de nous vendre votre rapport

En retour :

  • Nous n'engagerons aucune action en justice contre vous si vous jouez selon les règles ci-dessus
  • Nous effectuerons une évaluation des risques pour chaque vulnérabilité signalée
  • Nous répondrons à tous les rapports correctement soumis dans un délai de 2 semaines

Si vous ne respectez pas ces règles, nous ne traiterons pas le rapport. Nous n'offrons aucune compensation pour les rapports de sécurité.

Ce qui n'est pas considéré comme un rapport valide

  • Vulnérabilités qui ont déjà été signalées.
  • Des vulnérabilités connues dans les composants de notre stack technologique ont été signalées dans les 72 heures suivant leur sortie.
  • Des problèmes de sécurité que nous ne pouvons reproduire que dans des conditions très spécifiques.
  • Bugs ou fonctionnalités prouvant que Secret View connaît une adresse e-mail ou d'autres informations personnelles, ainsi que la possibilité d'utiliser la force brute pour collecter ces informations.
  • Les vulnérabilités qui constituent un risque accepté, y compris, mais sans s'y limiter :
    - Possibilité de s'inscrire et d'utiliser nos services sans confirmer d'adresse e-mail.
    - Absence de CAPTCHA sur les formulaires.
    - Absence d'utilisation de hardfail {(-all)} sur les enregistrements SPF.
    - Absence d'enregistrement {reject} dans le DMARC
    - Absence d'enregistrements DNS comme le CAA.
  • Clickjacking et problèmes exploitables uniquement par le biais du clickjacking
  • Absence d'indicateurs sécurisés/HTTP uniquement sur les cookies non sensibles
  • OPTIONS : méthode HTTPS activée
  • Injection d'en-tête hôte
  • Tout ce qui concerne les en-têtes de sécurité HTTP, par exemple
    - Sécurité stricte des transports
    - Options de cadre en X
    - Protection X-XSS
    - Options de type de contenu X
    - Politique de sécurité du contenu

Comment gérer les rapports pour les fournisseurs externes ?

Sur notre site Web et notre plateforme, nous faisons appel à plusieurs fournisseurs externes. Si votre signalement concerne un problème lié à l'un de ces fournisseurs, nous le lui transmettrons et considérerons que le processus de signalement est terminé.

Il ne s'agit pas d'une invitation à scanner activement

Notre politique de divulgation responsable n'est pas une invitation à analyser activement nos systèmes pour détecter les faiblesses. Nous surveillons notre système et l'améliorons en permanence. Pour chaque vulnérabilité possible, nous compensons le risque et l'impact et déterminons si elle est acceptable ou doit être corrigée. Cela dépend entièrement de notre discrétion.

Si vous avez plusieurs rapports, nous essaierons de les traiter en même temps. Toutefois, comme indiqué ci-dessus, nous vous déconseillons de les scanner activement.

Nous vous encourageons à signaler toutes les vulnérabilités, mais nous déconseillons l'utilisation d'outils automatisés. Nous les utilisons également. L'utilisation d'outils automatisés pour détecter et/ou signaler des vulnérabilités peut entraîner la duplication des rapports. Dans ces cas, votre rapport pourrait être considéré comme non valide.

Si vous avez des questions concernant les règles ci-dessus, n'hésitez pas à nous contacter en envoyant un e-mail à dev@secretview.io.Nous répondrons à tous les rapports correctement soumis dans un délai de 2 semaines. Si deux semaines se sont écoulées, n'hésitez pas à demander une mise à jour, mais d'ici là, soyez patient pendant que nous analysons le rapport et le gérons par notre équipe.

Merci !