En cas d'incident?
Choisir la langue
Demander une démo
Langues
Demander une démo
Retour à l'accueil

Partenaire

Offre partenaireServices de réussite des partenaires
Retour à l'accueil

Ressources

Centre de ressources Ressources
Retour à Ressources

Centre de ressources

Voir tout
Contactez-nous
Retour à Ressources

Ressources

Histoires de réussiteWebinairesÉvénementsBaladodiffusionsSalle de presseBlogueW/Labs
Contactez-nous
Retour à l'accueil

À propos

À propos de WithSecureDirectionContacts et bureaux de l'entrepriseCarrières chez WithSecureMusée d'art du logiciel malveillantRéalisations et certificationsDurabilitéComparez-nousVulnerability reward program
Contactez-nous
Retour à l'accueil

Plateforme

Elements Cloud Elements capabilities
Retour à Plateforme

Elements Cloud

Voir l'aperçu
Retour à Plateforme

Elements capabilities

Exposure ManagementExtended Detection & ResponseCo-Security Services
Retour à l'accueil

Solutions

Industry Use case
Retour à Solutions

Industry

Solution industry page linkSolution industry page linkSolution industry page link
Retour à Solutions

Use case

ConformitéLien vers la page de cas d'utilisation de la solutionMenaces de l'IALien vers la page de cas d'utilisation de la solutionTransformation du SOCLien vers la page de cas d'utilisation de la solution
Retour à l'accueil

Connexion

Retour à l'accueil

Langues

Anglais Finnois Français Allemand Japonais

Vulnerability reward program.

Signalez des vulnérabilités. Soyez récompensé pour renforcer la sécurité.

WithSecure récompense les chercheurs en sécurité qui divulguent de façon responsable les vulnérabilités détectées dans nos produits et services — c’est ce que l’on appelle aussi un programme « bug bounty ». Si vous avez détecté un problème de sécurité, nous voulons en être informés. Lisez intégralement les lignes directrices ci-dessous avant de participer.

Ce qu’il faut savoir avant de commencer

Nous souhaitons être informés de toute vulnérabilité de sécurité affectant nos produits et services. Pour récompenser les chercheurs en sécurité, nous proposons des récompenses financières pour les rapports éligibles qui nous sont divulgués de manière coordonnée.

Cependant, certaines règles doivent être respectées pour garantir que votre recherche en sécurité ne fasse pas peser de risque sur les autres utilisateurs ou leurs données, et pour réduire la probabilité que votre recherche soit signalée par notre supervision comme une tentative d’intrusion malveillante. Nous tenons également à clarifier certains aspects liés à l’acceptation des rapports et au paiement des récompenses, afin d’éviter toute surprise.

Une « vulnérabilité de sécurité » est définie comme un problème entraînant une atteinte à la confidentialité, à l’intégrité ou à la disponibilité du service ou des données, ou s’appliquant à des données personnelles (informations à caractère personnel) stockées ou traitées d’une manière non conforme à la législation finlandaise en vigueur en matière de protection des données.

Ce programme couvre actuellement les produits et services WithSecure suivants :

  • WithSecure Policy Manager
  • WithSecure Client Security
  • WithSecure Client Security Premium
  • WithSecure Server Security
  • WithSecure Server Security Premium
  • WithSecure E-mail and Server Security
  • WithSecure E-mail and Server Security Premium
  • WithSecure Linux Protection
  • WithSecure Atlant
  • WithSecure Elements EPP for Computers (Windows et Mac)
  • WithSecure Elements EPP for Computers Premium (Windows)
  • WithSecure Elements EPP for Servers (Windows et Linux)
  • WithSecure Elements EDR for Servers (Windows et Linux)
  • WithSecure Elements EPP for Servers Premium (Windows et Linux)
  • WithSecure Elements EDR for Computers (Windows et Mac)
  • WithSecure Elements EDR and EPP for Computers (Windows et Mac)
  • WithSecure Elements EDR and EPP for Computers Premium (Windows)
  • WithSecure Elements EDR and EPP for Servers (Windows et Linux)
  • WithSecure Elements Mobile Protection (Android et iOS)
  • WithSecure Elements Collaboration Protection
  • WithSecure Countercept Managed Detection & Response (MDR)

Nous accueillons volontiers les rapports concernant d’autres produits, services ou pages web publiques WithSecure, mais ceux-ci ne font pas partie du présent reward program.

Restrictions et versions supportées

La version la plus récente avec la dernière mise à jour de base de données installée, telle que distribuée via les pages web WithSecure, le Google Play Store, le Windows Phone Store ou l’Apple App Store. Les informations sur la version la plus récente sont disponibles ici.

Restrictions et reproductibilité

Les problèmes de sécurité côté navigateur doivent être reproductibles sur un navigateur web compatible HTML5. Les vulnérabilités des clients sur appareils mobiles doivent être reproductibles sur un appareil non rooté, avec le firmware le plus récent fourni par le constructeur et datant de moins d’un an. Sur Android, l’appareil doit avoir les Google Play Services préinstallés en usine. Sur les clients desktop, la reproductibilité est requise sans que l’attaquant n’ait besoin d’un accès administrateur ou root, et avec un OS à jour des derniers correctifs de sécurité fournis par l’éditeur ou la distribution. Les bugs côté client éligibles doivent se trouver dans le code que WithSecure délivre dans le cadre d’une application cliente. Les bugs dans les composants tiers sont en général éligibles s’ils sont délivrés dans le cadre de l’application cliente WithSecure. Les problèmes qui sont des bugs de la plateforme sous-jacente, de l’OS ou des bibliothèques fournies par la plateforme peuvent être éligibles, dès lors qu’ils peuvent se manifester ou affecter l’application WithSecure. Dans le cas de bugs concernant des composants externes, nous nous proposons d’assumer la responsabilité d’en notifier les parties concernées dans les temps. Si vous avez besoin de clarifications, contactez-nous au préalable.

Recherche en sécurité autorisée

Nous n’autorisons que les recherches en sécurité qui :

  • font un effort de bonne foi pour ne pas affecter les services tiers ni leur disponibilité ;
  • font un effort de bonne foi pour ne pas affecter ni divulguer les comptes, données personnelles ou contenus des autres utilisateurs, et pour ne pas affecter la disponibilité du service pour les autres utilisateurs ;
  • n’utilisent que des comptes utilisateurs qui vous appartiennent personnellement (vous êtes autorisé à créer plusieurs comptes spécifiquement aux fins de mener des recherches en sécurité dans le cadre de ce vulnerability reward program) ;
  • ne ciblent que des comptes utilisateurs, données utilisateurs ou données personnelles qui vous appartiennent personnellement, ou des données de test fictives ;
  • n’utilisent ou ne ciblent que des clients installés sur du matériel que vous possédez et opérez vous-même ;
  • n’emploient que des méthodes conformes à votre législation locale et à la législation finlandaise ;
  • n’utilisent pas de payloads malveillants ou destructifs au-delà de ce qui est techniquement requis pour une démonstration de proof-of-concept inoffensive ;
  • ne ciblent que les services ou produits listés ci-dessus, sous réserve des exclusions applicables.

Si vous avez des questions sur le caractère autorisé d’un certain type de recherche, ou sur l’inclusion d’une cible donnée dans le périmètre, contactez-nous à security@withsecure.com avant de mener la recherche.

Comment signaler une vulnérabilité

Comment signaler une vulnérabilité

Veuillez soumettre votre rapport par e-mail à security@withsecure.com. Nous vous recommandons très vivement de chiffrer l’e-mail avec notre clé PGP, disponible sur les serveurs de clés (fingerprint 2622 90BA C1DB AB46 2954 B150 1518 05EB 454B 15C4), et de joindre votre propre clé publique au message.

Veuillez noter qu’en nous soumettant un rapport de vulnérabilité, vous nous concédez une licence et un droit perpétuels, mondiaux, libres de redevance, irrévocables et non exclusifs d’utiliser, modifier et intégrer votre soumission ou toute partie de celle-ci dans nos produits, services ou systèmes de test, sans autre obligation ni notification à votre égard.

Tout rapport de bug non lié à la sécurité ou à la vie privée, ainsi que toute demande de service client envoyés à cette adresse e-mail seront ignorés. Pour toute question non liée à la sécurité concernant les produits WithSecure, rendez-vous sur la WithSecure Community ou contactez le Support For Business.

Dans votre rapport, veuillez décrire au minimum :

– ce que vous avez trouvé ;
– où exactement vous l’avez trouvé et les étapes pour le reproduire ;
– Exemple : si l’attaque concerne une URI spécifique et un paramètre spécifique, merci de fournir cette information en détail.
– Exemple : si vous menez des activités de fuzzing, merci de nous fournir des informations complémentaires, en particulier le corpus initial utilisé.
– si la vulnérabilité concerne un service, la date et l’heure (UTC) auxquelles vous avez pu la reproduire (une nouvelle version a pu être déployée depuis) ;
– si la vulnérabilité concerne un client, le numéro de version du client, la plateforme sur laquelle il s’exécute et la version de la base de données (le cas échéant) ;
– l’impact potentiel de la vulnérabilité ou les façons dont un attaquant peut l’exploiter ;
– un proof-of-concept ou un exploit fonctionnel si disponible ;
– une suggestion de correctif si disponible.

Tout complément d’information technique pertinent sera apprécié, en particulier si la reproduction est délicate. Si nous ne pouvons pas reproduire le problème, nous ne pouvons pas vous récompenser.

Nous nous efforçons de vous envoyer un accusé de réception dans un délai de cinq jours ouvrés. Si vous n’avez pas de nouvelles de notre part dans ce délai, merci de renvoyer le rapport.

Ce qui se passe après votre rapport

Nos développeurs examineront le sujet et détermineront si votre découverte constitue effectivement une vulnérabilité de sécurité et si nous pouvons la reproduire à partir des informations que vous avez fournies. Si elle est éligible, une récompense sera versée une fois le problème corrigé.

Nous ne pouvons nous engager sur aucun calendrier spécifique de correction (et donc de paiement de la récompense), chaque cas étant différent. Nous accordons toutefois en interne une priorité élevée aux problèmes de sécurité signalés en externe, et nous nous efforçons de vous tenir informé du statut. Vous pouvez également demander des mises à jour de statut en contactant le responsable de votre dossier.

Il peut nous arriver de publier les noms des personnes que nous avons récompensées ; si nous publions des bulletins de vulnérabilité, nous souhaitons créditer qui de droit. Si vous préférez rester derrière un pseudonyme (handle) ou anonyme, nous le respecterons bien entendu.

Même si nous nous efforçons de voir le problème avec vos yeux, dans certains cas limites, nous pourrions estimer que le problème que vous avez découvert ne présente pas de risque, ou qu’il ne s’agit pas d’un bug de sécurité ou de vie privée. Dans ces cas, aucune récompense ne sera versée.

Aucune récompense ne sera versée si la découverte devient publique, de quelque manière que ce soit, avant d’avoir été corrigée. Si quelqu’un d’autre a déjà signalé la découverte plus tôt, nous vous en informerons une fois le problème corrigé. Si plusieurs chercheurs signalent le même problème, nous ne récompensons que l’auteur du premier rapport nous fournissant suffisamment de détails techniques pour reproduire la découverte. Nous savons que cela pourrait nous offrir une échappatoire pour prétendre que tout a déjà été découvert auparavant, mais croyez-nous, nous voulons être équitables.

Paiements

IMPORTANT ! Ne nous envoyez pas vos informations de paiement à l’avance. Nous demanderons les informations appropriées si et lorsqu’un paiement sera dû.

Les paiements sont effectués par virement bancaire au sein de l’espace SEPA (Single Euro Payments Area) ou par virement international en dehors du SEPA. Nous ne pouvons pas recourir aux chèques, aux cryptomonnaies ni à d’autres services de transfert d’argent. Le bénéficiaire du paiement est responsable des éventuels frais ou commissions prélevés sur le virement, ainsi que de l’accès aux fonds une fois transférés. Les paiements sont par défaut effectués en euros (EUR), et toute conversion de devise se fait au taux bancaire en vigueur.

Nous sommes tenus de déclarer toutes les récompenses individuelles des chercheurs à l’administration fiscale finlandaise, quel que soit votre pays de résidence. À cette fin, et pour procéder effectivement au paiement, nous vous demanderons ultérieurement vos nom complet, date de naissance, adresse postale actuelle et coordonnées bancaires pour le virement. Si vous disposez d’une société, nous pouvons vous demander de nous facturer à la place.

Le bénéficiaire est responsable de toute imposition. Si vous êtes imposé en Finlande, nous sommes tenus de prélever la retenue à la source et avons besoin de votre numéro d’identification personnel, et éventuellement de votre certificat d’imposition pour l’année en cours.

Ces exigences d’identification nous sont imposées par les autorités et ne souffrent aucune exception. Par ailleurs, aucun paiement n’est effectué vers des pays ou juridictions sous embargo, ni vers des personnes ou entités figurant sur une liste de sanctions.

En raison de ces exigences d’identification, nous ne traiterons directement qu’avec l’auteur initial du rapport. Nous n’utiliserons que l’adresse e-mail figurant dans le rapport initial : veillez donc à conserver l’accès au compte e-mail utilisé pour envoyer le rapport initial.

Mentions légales complémentaires

Mentions légales complémentaires

Nos juristes nous demandent de préciser les mentions en petits caractères suivantes :

Vous êtes autorisé à rétroingénierer et décompiler les clients WithSecure strictement et exclusivement aux fins de mener des recherches en sécurité dans le cadre de ce vulnerability reward program. Cette autorisation ne s’applique qu’aux clients WithSecure expressément nommés et listés dans ce vulnerability reward program, à l’exclusion de tout composant tiers sous licence qu’ils contiennent. Vous ne pouvez divulguer, montrer ni publier à des tiers, sous quelque forme que ce soit, aucun code ni aucune partie de code que vous auriez dérivé dans le cadre de cette autorisation.

Une description du fichier de données personnelles utilisé pour le paiement des récompenses est disponible ici.

WithSecure se réserve le droit d’interrompre ce reward program et d’en modifier les conditions à tout moment, sans préavis. Ce texte a été modifié pour la dernière fois le 22/12/2022. Sauf prolongation expressément indiquée ici, le présent vulnerability reward program prendra fin le 31 août 2026. Toutes les décisions relatives au paiement des récompenses sont définitives. Les règles de ce reward program et toute communication y afférente ne fondent ni n’impliquent aucune obligation pour WithSecure, de quelque nature que ce soit.

Récompenses

Le montant de la récompense est déterminé uniquement par une équipe WithSecure composée de nos collaborateurs techniques, et repose sur le risque estimé que représente la vulnérabilité. La fourchette actuelle des récompenses s’étend de 500 EUR à 18 000 EUR.

Si vous signalez plusieurs problèmes qui sont des doublons dans différentes parties du service (par exemple, le même code s’exécutant sur différents nœuds ou plateformes), ou qui font partie d’un problème plus large, ceux-ci pourront être regroupés et seule une récompense pourra être versée.

Le tableau suivant présente plusieurs classes de bugs et la récompense correspondante. Toutes les classes de bugs ne sont pas couvertes par cette liste, mais les exemples ci-dessous vous permettront de vous faire une idée du rapport gravité/récompense.

Jusqu’à 18 000
  • Remote code execution sur un serveur de production (notre backend cloud)
  • Remote file inclusion sur un serveur de production (notre backend cloud)
  • Contournement d’authentification significatif sur un serveur de production contenant des informations critiques (notre backend cloud)
10 000 EUR
  • Privilege Escalation dans un service cloud (octroi de droits administrateurs à des utilisateurs à privilèges faibles)
10 000 EUR
  • Privilege Escalation dans un service cloud (octroi de droits administrateurs à des utilisateurs à privilèges faibles)
Jusqu’à 7 500
  • Remote code execution sur un logiciel client
  • Extraction de données depuis un serveur de production
  • Problème de contrôle d’accès exposant des données à caractère personnel
Jusqu’à 3 000
  • Remote code execution dans une sandbox
  • Local privilege escalation sur la machine d’un client
  • Déni de service persistant sur la fonctionnalité antivirus ou vie privée
Jusqu’à 1 000
  • Déni de service temporaire de l’antivirus
  • TDoS temporaire à fort impact sur les fonctionnalités locales du produit
Jusqu’à 500
  • SMauvaise configuration liée à la sécurité sur un serveur de production ou un logiciel client

Accréditations et certifications

Fichier de données personnelles

Comment nous traitons vos données personnelles.

Informations sur les données collectées, la façon dont nous traitons les données personnelles et vos droits en tant que personne concernée.

En savoir plus