Divulgation responsable
La divulgation responsable
La sécurité de nos clients et de nos systèmes d’informations est au cœur de nos priorités. Ainsi, chaque jour, nous œuvrons à garantir le meilleur niveau de sécurité possible de sorte que la confidentialité des données soit toujours préservée. Il n’est pas impossible néanmoins que des vulnérabilités échappent à notre vigilance et c’est pourquoi nous vous remercions de collaborer avec nous en participant à cette politique de divulgation volontaire dans le cas où vous découvririez ou suspectiez une vulnérabilité sur nos sites ou dans nos systèmes. Nous reconnaissons ainsi que le travail de la communauté des chercheurs en cyber-sécurité est important pour continuer à assurer la sécurité et la sûreté de tous et en particulier celle de nos clients et espérons favoriser un partenariat ouvert avec tous les chercheurs.
A cette fin, voici les quelques règles simples à respecter qui nous permettront de donner le meilleur suivi à votre message. Ces règles sont applicables à partir de ce 01/03/2021
Que pouvez-vous tester ?
Les vulnérabilités présumées en matière de sécurité susceptibles d’être exploitées à des fins illégales et qui surviennent :
- sur nos sites (voo-website-v3-customer.staging.epic-sys.io; myvoo.be; zuny.be, …) ;
- au niveau de nos produits et services, systèmes IT et réseaux ;
Bien que VOO SA opère un certain nombre d’autres services, nous demandons à tous les chercheurs en cyber-sécurité de soumettre des rapports de vulnérabilité uniquement pour la liste de produits et services indiquée. Nous avons l’intention d’étendre la portée de cette politique au fur et à mesure que nous renforcerons nos capacités et notre expérience en la matière.
Nous nous engageons à ne pas poursuivre en justice les personnes qui respectent la procédure décrite dans ce document et :
- testent des systèmes / effectuent des recherches sans que ces activités ne nuisent à VOO ou à ses clients.
- effectuent des tests de vulnérabilité dans le cadre de notre programme de divulgation de vulnérabilité tout en évitant d’accéder à d’autres ressources de VOO.
- effectuent des recherches sur les produits sans affecter les clients de VOO, ou en recevant l’autorisation des clients avant de procéder à des tests sur leurs appareils / logiciels, etc.
- respectent les lois en vigueur en Belgique et dans leur juridiction.
- s’abstiennent de divulguer au public ou à des tiers les détails de la vulnérabilité avant l’expiration d’un délai convenu d’un commun accord ou la fin du processus de remédiation.
Comment soumettre une vulnérabilité ?
Faites nous part de vos observations uniquement via l’adresse email : [email protected]
Nous acceptons les rapports en trois langues : français, néerlandais ou anglais.
S’il s’agit d’informations sensibles, que vous préférez envoyer de manière cryptée, utilisez GPG en encryptant votre message au moyen de la clé publique suivante :
Key store : https://keys.openpgp.org/
Fingerprint: 32B1 DFBE 48E6 84CB 913D 0C0C B7BA 5238 F41E 65DB
Vous préférez rester anonyme ? Aucun problème, mais nous vous demandons cependant de mentionner une boîte e-mail anonyme (Gmail, Hotmail, Yahoo, etc.) pour pouvoir vous contacter si nous avons d’autres questions à vous poser ou du feed-back à demander.
Programme Bug Bounty
Si vous êtes un hacker éthique ou un chercheur en sécurité, vous pouvez aider à protéger les actifs de VOO et gagner des récompenses de bug bounty en participant.
Le programme bug bounty de VOO est organisé en coopération avec https://www.intigrity.com.
Critères de préférence, de priorisation et d’acceptation
Nous utiliserons les critères suivants pour prioriser et trier les soumissions.
Donnez toutes les chances à votre notification :
- Un rapport rédigé dans un anglais/français/néerlandais correct aura plus de chances d’être examiné.
- Un rapport qui inclut un code d’exploitation (« proof of concept ») sera plus facilement priorisé.
- Un rapport qui inclut uniquement des « dumps » ou d’autres sorties d’outils automatisés ne sera pas examiné en priorité.
- Un rapport qui inclut des produits et/ou services ne figurant pas dans le périmètre évoqué ci-dessus ne sera pas pris en compte.
- L’origine de la vulnérabilité, la manière dont vous l’avez identifiée, son impact estimé sur les clients de VOO ainsi que tout commentaire éventuel.
- Le moyen de contact souhaité.
Ne nous adressez pas de divulgation de vulnérabilité en cas de :
- Remarques ou questions concernant un problème relatif à la fourniture de nos produits ou services. Vous pouvez vous adresser directement à notre service client pour ce type de demande.
- Attaques techniques (DDoS, brute force, password guessing/spraying, etc.,) Si vous êtes victime d’une de ces attaques en provenance de nos réseaux, vous pouvez vous adresser directement à l’adresse [email protected].
- Spam, attaques par hameçonnage, e-mails frauduleux… Vous pouvez vous adresser directement à [email protected] pour ce type de demande.
Nos engagements :
- Une réponse rapide à votre e-mail (dans les 5 jours ouvrables).
- Après triage, un calendrier prévisionnel pour la suppression ou la mitigation de la vulnérabilité.
- Un dialogue ouvert et constructif.
- Une notification lorsque l’analyse de vulnérabilité est terminée
Si l’approche que vous préconisiez afin de résoudre une vulnérabilité ou d’autres problèmes n’était pas partagée par VOO, VOO pourra faire appel à un tiers neutre (tel que CERT-BE ou l’IBPT) pour aider à déterminer la meilleure façon de gérer la vulnérabilité.