Divulgation responsable

Chez VanMoof, la sécurité de nos systèmes – et de nos utilisateurs – est pour nous une priorité absolue. Mais quels que soient les efforts que nous déployons pour assurer la sécurité de nos systèmes, il peut toujours y avoir des vulnérabilités.

1. Règles

1

Veuillez fournir des rapports détaillés avec des étapes reproductibles. Si le rapport n’est pas suffisamment détaillé pour reproduire le problème, il peut arriver que le problème ne soit pas réglé.

2

Prenez soin de n’indiquer qu’une seule vulnérabilité par rapport, sauf si vous devez enchaîner les vulnérabilités pour obtenir un impact.

3

L’ingénierie sociale (par exemple, les différents types d’hameçonnage que sont le phishing, le vishing, le smishing, l’hameçonnage vocal, l’hameçonnage vocal) est interdite.

4

Faites en sorte de toujours agir de bonne foi et d’une manière permettant d’éviter les atteintes à la vie privée, la destruction de données et l’interruption ou la dégradation de notre service. N’interagissez qu’avec les comptes dont vous êtes propriétaire ou avec l’autorisation explicite du titulaire du compte.

2. Champ d’application

1

Chez VanMoof, la sécurité de nos systèmes – et de nos utilisateurs – est pour nous une priorité absolue. Mais quels que soient les efforts que nous déployons pour assurer la sécurité de nos systèmes, il peut toujours y avoir des vulnérabilités.

3. Vulnérabilités hors du champ d’application

1

Le détournement de clics sur des pages ne comportant pas d’actions sensibles.

2

Falsification des requêtes intersites [Cross-Site Request Forgery (CSRF)] sur des formulaires non authentifiés ou des formulaires ne comportant pas d’actions sensibles.

3

Attaques nécessitant un MITM ou un accès physique à l’appareil d’un utilisateur.

4

Bibliothèques vulnérables précédemment connues sans preuve de concept opérationnelle.

5

Injection de valeurs séparées par des virgules [Comma Separated Values (CSV)] sans démonstration d’une vulnérabilité.

6

Absence de bonnes pratiques dans la configuration SSL/TLS.

7

Toute activité susceptible d’entraîner une interruption de notre service [disruption of our service (DoS)].

8

Problèmes d’usurpation de contenu et d’injection de texte sans démonstration d’un vecteur d’attaque/sans possibilité de modifier HTML/CSS.

9

Problèmes de limitation de débit ou de force brute sur des points d’extrémité non authentifiés.

10

Absence de bonnes pratiques dans la politique de sécurité du contenu.

11

Absence des indicateurs HttpOnly ou Secure sur les cookies.

12

Absence de bonnes pratiques en matière de courrier électronique (enregistrements SPF/DKIM/DMARC invalides, incomplets ou manquants, etc.)

13

Vulnérabilités affectant uniquement les utilisateurs de navigateurs obsolètes ou non corrigés [moins de deux versions stables après la dernière version stable publiée].

14

Divulgation de la version du logiciel / Problèmes d’identification de la bannière / Messages d’erreur descriptifs ou en-têtes (par exemple, traces de pile, erreurs d’application ou de serveur).

15

Tabnabbing

16

Redirection ouverte - à moins qu’un impact supplémentaire sur la sécurité puisse être démontré.

17

Sécurité ou installations physiques en magasin.

18

Applications tierces que nous utilisons, mais que nous ne contrôlons pas (par exemple, un blog hébergé sur un service externe – à moins que nous n’ayons configuré le blog de manière à rendre vulnérables les zones que nous couvrons).

19

Le spam (à moins qu’une vulnérabilité spécifique ne permette d’envoyer facilement du spam).

20

Politiques par opposition aux mises en œuvre – vérification des courriels, longueur ou réutilisation des mots de passe, etc.

21

Les vulnérabilités dans nos logiciels libres (à moins que vous n’ayez une preuve de concept de la façon dont la vulnérabilité spécifique peut être utilisée sur vanmoof.com ou des applications connexes).

22

Les vulnérabilités qui nécessitent l’accès à un compte déjà compromis (à moins que l’accès à un compte n’expose d’autres comptes).

4. Comment présenter un rapport

1

Si vous découvrez quelque chose, veuillez nous en informer immédiatement.

2

Faites-nous part de vos constatations le plus rapidement possible par courriel à security (arobase) vanmoof (point) com.

3

Dans le corps de votre courriel, n’oubliez pas de nous indiquer comment vous avez découvert le problème, afin que nous puissions le reproduire. Décrivez le problème et transmettez l’adresse IP ou l’URL.

4

Indiquez également vos coordonnées, telles qu’une adresse électronique ou un numéro de téléphone. Nous pourrons ainsi – si besoin – vous poser des questions complémentaires, le cas échéant.

5. Safe Harbor

Toute activité menée dans le respect de la présente politique sera considérée comme une conduite autorisée et nous n’engagerons pas d’action en justice à votre encontre. Si une action en justice est engagée par un tiers contre vous en rapport avec des activités menées dans le cadre de la présente politique, nous prendrons des mesures pour faire savoir que vos actions ont été menées dans le respect de la présente politique. Merci de contribuer à la sécurité de VanMoof et de ses utilisateurs !