Programme de divulgation responsable

Un programme de divulgation responsable est un processus mis en place par les organisations pour encourager les chercheurs en sécurité et autres hackers éthiques à signaler les failles de sécurité qu'ils découvrent dans le site products ou les services de l'organisation, afin que celle-ci puisse les corriger avant que des acteurs malveillants ne les exploitent.

À l'adresse Dash Hudson, nous apprécions grandement le soutien des membres de cybersécurité community qui nous aident à maintenir nos normes élevées de cybersécurité. Si vous identifiez une faille de sécurité relative à notre plateforme, veuillez nous en informer rapidement avant de divulguer la faille au monde extérieur afin que nous puissions prendre les mesures nécessaires. 

Veuillez préserver la confidentialité de toutes les informations relatives à la vulnérabilité découverte vis-à-vis de tous les tiers pendant une période d'au moins 60 jours, afin de nous permettre d'identifier et de mettre en œuvre les mesures nécessaires pour résoudre le problème que vous avez signalé.

Le champ d'application actuel du rapport comprend les sites web suivants :

Comment nous avertir ?

Si vous avez identifié une faille de sécurité, veuillez procéder comme suit :

Informez-nous dès que possible par courrier électronique à l'adresse security@dashhudson.com

Veuillez inclure les informations suivantes dans votre rapport :

  • Coordonnées (nom et adresse électronique) ;
  • Type de vulnérabilité identifiée ;
  • Service/dispositif/application touché(e) par la vulnérabilité ;
  • Une description détaillée du problème rencontré ;
  • Tous les fichiers qui peuvent aider à reproduire la faille (par exemple, les captures d'écran, les images, les fichiers texte avec les détails de la description, les PoC, le code source, les scripts, les traces pcap, les journaux, les adresses IP de la source, etc.)

Ne prenez pas d'autres mesures que celles nécessaires à l'identification et à la vérification du problème. N'utilisez pas la faille de sécurité identifiée à votre avantage et évitez de stocker toute donnée confidentielle obtenue à la suite de ce problème.

Exemples de vulnérabilités à prendre en compte

  • Vulnérabilités d'injection et de désérialisation (injection SQL/NoSQL/LDAP, injection de commandes, désérialisation d'objets)
  • Vulnérabilités en matière d'authentification et de contrôle d'accès (mise en œuvre incorrecte de l'authentification, de la gestion des sessions et du contrôle d'accès)
  • Exposition aux données sensibles (vulnérabilités pouvant entraîner une fuite de données)
  • Scripts intersites
  • Falsifications de requêtes intersites
  • Falsification des requêtes côté serveur
  • Vulnérabilité des redirections
  • API sous-protégée
  • Les vulnérabilités connues et les vulnérabilités de type "zero-day" sous les feux de la rampe

Exemples de vulnérabilités que nous ne prendrons pas en compte

Nous surveillons en permanence nos actifs exposés à l'internet afin d'identifier les problèmes de sécurité et les mauvaises configurations. Nous vous demandons donc d'éviter de signaler les éléments suivants s'ils ne conduisent pas à une exploitation réelle :

  • Configurations faibles du protocole TLS ;
  • Rapports de non-respect des meilleures pratiques (par exemple, pour la configuration SPF/DKIM/DMARC, la politique de sécurité du contenu, les mauvaises configurations TLS) ;
  • Les résultats d'outils/solutions automatisés bien connus

Comment allons-nous réagir ?

Si vous signalez une faille de sécurité relative à l'un de nos sites web mentionnés ci-dessus, nous traiterons votre signalement de la manière suivante.

  • Nous vous confirmerons la réception de votre rapport dans un délai de deux jours ouvrables.
  • Nous vous enverrons notre réponse dans les cinq jours ouvrables suivant l'accusé de réception, en indiquant notre évaluation du problème et la date de résolution prévue. Dans certaines circonstances particulières, nous nous réservons le droit de prolonger ce délai moyennant un préavis approprié.
  • Nous traiterons votre rapport de manière confidentielle et ne communiquerons pas vos coordonnées à des tiers, sauf en cas d'obligation légale.
  • La récompense dépend de la gravité et de la criticité du problème identifié.