Programme de récompense des vulnérabilités

Signaler les vulnérabilités trouvées dans les produits et services WithSecure.

Programme Bug Bounty. Nous récompensons tout signalement de failles de sécurité dans certains produits et services WithSecure.

Afin d'éviter toute ambiguïté, nous appliquons les directives suivantes. Veuillez les lire attentivement dans leur intégralité avant de participer.

De quoi s'agit-il ?

De quoi s'agit-il ?

 

Nous souhaitons être informés de toute faille de sécurité dans nos produits et services. Afin de récompenser les chercheurs en sécurité, nous offrons des récompenses pour les rapports de vulnérabilité de sécurité, éligibles, qui nous sont divulgués de manière coordonnée. Toutefois, certaines règles doivent être respectées afin de garantir que votre recherche en matière de sécurité n'entraîne pas de risque pour les autres utilisateurs ou leurs données, et afin de réduire la probabilité que votre recherche soit signalée comme une tentative d'intrusion malveillante par notre système de surveillance. Nous souhaitons également être clairs sur certains aspects relatifs à l'acceptation des rapports et au paiement des récompenses afin d'éviter toute surprise.

Une "faille de sécurité" est définie comme un problème qui entraîne une violation de la confidentialité, de l'intégrité ou de la disponibilité du service ou des données, ou qui s'applique à des données personnelles (informations personnellement identifiables) stockées ou traitées d'une manière non conforme à la législation finlandaise actuelle sur la protection des données.

Scope

Portée

Pour le moment, le programme de récompense des vulnérabilités ne couvre que certains produits et services WithSecure listés dans le tableau ci-dessous. Nous accueillons volontiers les rapports de vulnérabilité concernant tout autre produit, service ou page web publique de WithSecure. Cependant, ceux-ci ne font pas partie pour le moment de ce programme de récompense.

WithSecure Client Security
WithSecure  Client Security Premium
WithSecure  Server Security
WithSecure  Server Security Premium
WithSecure  E-mail and Server Security
WithSecure  E-mail and Server Security Premium
WithSecure  Linux Protection
WithSecure  Atlant
WithSecure  PSB Linux Security
WithSecure  Cloud Protection for Salesforce
WithSecure  Policy Manager
WithSecure Elements EPP for Computers
WithSecure Elements EPP for Computers Premium 
WithSecure  Elements EPP for Servers 
WithSecure  Elements EPP for Servers Premium
WithSecure  Elements Collaboration Protection

 

Restrictions et versions supportées

La dernière version la plus récente avec la dernière mise à jour de la base de données installée, telle que publiée sur les pages Web de WithSecure, sur Google Play Store, Windows Phone Store ou Apple App Store.

Vous trouverez des informations sur la dernière version actuelle ici.

 

Restrictions et reproductibilité

 

Les problèmes de sécurité liés au navigateur doivent pouvoir être reproduits sur un navigateur Web compatible HTML5. Les vulnérabilités des clients sur appareils mobiles doivent pouvoir être reproduites sur un appareil non rooté, avec le firmware le plus récent, datant de moins d'un an, fourni par le fabricant de l'appareil.

Sur Android, les services Google Play doivent être installés sur l'appareil. Sur les clients de bureau, la reproductibilité est requise sans que l'attaquant ait besoin d'un accès administrateur ou root, et que le système d'exploitation soit mis à jour avec les derniers correctifs de sécurité fournis par le vendeur ou la distribution du système d'exploitation. Les bogues client éligibles doivent se trouver dans le code que WithSecure fournit dans le cadre d'une application client. Les bugs dans les composants tiers sont généralement éligibles s'ils sont livrés dans le cadre de l'application client WithSecure. Les problèmes de bugs de la plateforme sous-jacente, du système d'exploitation, des bibliothèques fournies par la plateforme peuvent être éligibles tant qu'ils peuvent manifester ou affecter l'application WithSecure. Dans le cas de bugs de composants externes, nous proposerons de prendre la responsabilité de notifier en temps voulu les parties affectées. Si vous avez besoin de clarification, contactez-nous au préalable.

 

Recherche autorisée de sécurité

Nous autorisons uniquement les recherches en matière de sécurité qui :

  • Font un effort de bonne foi pour éviter d'affecter les services de tiers ou leur disponibilité ;
  • S'efforcent en toute bonne foi de ne pas affecter ou divulguer les comptes, les données personnelles ou le contenu d'autres utilisateurs, et de ne pas affecter la disponibilité des services pour les autres utilisateurs ;
  • N'utilisent que le(s) compte(s) d'utilisateur qui vous appartient(nt) personnellement (vous êtes autorisé à créer plusieurs comptes spécifiquement dans le but de mener des recherches sur la sécurité pour ce programme de récompense des vulnérabilités) ;
  • Ne ciblent que des comptes d'utilisateurs, des données d'utilisateurs ou des données personnelles qui vous appartiennent personnellement, ou qui sont des données de test fictives ;
  • N'utilisent ou ne ciblent que des clients qui ont été installés sur du matériel que vous possédez et exploitez vous-même ;
  • N'utilisent que des méthodes conformes à votre législation locale et finlandaise ;
  • N'utilisent pas de charges utiles malveillantes ou destructrices au-delà de ce qui est techniquement nécessaire pour une démonstration bénigne de validation de concept ;
  • Ne ciblent que les services ou produits énumérés ci-dessus, avec les exclusions appropriées.

Si vous avez des questions sur l'admissibilité d'un certain type de recherche ou sur le champ d'application d'une cible donnée, contactez-nous à l'adresse security@withsecure.com avant de mener la recherche.

Comment signaler une vulnérabilité

Comment signaler une vulnérabilité

Veuillez soumettre votre rapport par courriel à security@withsecure.com. Nous vous recommandons vivement de chiffrer l'e-mail en utilisant notre clé PGP, disponible sur les serveurs de clés (empreinte de clé 9443 EB64 5377 2088 D6DA 21E0 AC07 87AE 70E4 79FB), et de joindre votre propre clé publique dans l'e-mail.

Veuillez noter qu'en nous soumettant un rapport de vulnérabilité, vous nous accordez une licence et un droit perpétuels, mondiaux, libres de redevance, irrévocables et non exclusifs, d'utiliser, de modifier et d'incorporer votre soumission ou toute partie de celle-ci dans nos produits, services ou systèmes de test sans aucune autre obligation ou notification à votre égard.

Tout rapport de bogue ou demande de service client non lié à la sécurité ou à la vie privée envoyé à cette adresse e-mail sera ignoré. Si vous avez une question non liée à la sécurité concernant les produits WithSecure, veuillez visiter le site https://community.f-secure.com/, ou contacter le Support For Business.

Dans votre rapport, veuillez décrire, au moins :

  • Ce que vous avez trouvé ;
  • Où l'avez-vous trouvé exactement et comment le reproduire ;
  • Exemple : Si l'attaque concerne un URI spécifique et un paramètre spécifique, veuillez fournir ces informations en détail.
  • Exemple : Si vous effectuez des activités de fuzzing, veuillez nous fournir des informations supplémentaires, notamment le corpus initial que vous avez utilisé.
  • Si la vulnérabilité s'applique à un service, date et heure (UTC) auxquelles vous avez pu reproduire la vulnérabilité (il se peut que nous ayons déployé une nouvelle version depuis) ;
  • Si la vulnérabilité s'applique à un client, indiquez le numéro de version du client, la plate-forme sur laquelle il fonctionne et la version de la base de données (le cas échéant) ;
  • Impact possible de la vulnérabilité ou façons dont un attaquant peut tirer parti de la vulnérabilité ;
  • Preuve de concept ou exploit fonctionnel, si disponible ;
  • Suggestion de correction si disponible.

Nous vous serions reconnaissants de nous fournir toute autre information technique pertinente, en particulier si la reproduction est délicate. Si nous ne pouvons pas la reproduire, nous ne pouvons pas vous récompenser. 

Nous nous efforçons de vous envoyer un accusé de réception dans les cinq jours ouvrables. Si vous n'avez pas de réponse de notre part d'ici là, veuillez renvoyer le rapport.

Que se passe-t-il après votre rapport ?

Que se passe-t-il après votre rapport

Nos développeurs examineront la question et détermineront si votre découverte constitue réellement une faille de sécurité et si nous pouvons la reproduire avec les informations que vous avez fournies. Si c'est le cas, une récompense sera versée après la correction du problème.

Nous ne pouvons pas nous engager sur un calendrier spécifique de correction (et donc de paiement de la récompense) car chaque cas est différent. Cependant, nous accordons en interne une priorité élevée aux problèmes de sécurité signalés en externe et nous nous efforcerons de vous tenir au courant de leur état d'avancement. Vous pouvez également demander des mises à jour sur l'état d'avancement, en contactant votre gestionnaire de cas.

Il se peut que nous publiions parfois les noms des personnes que nous avons récompensées, et si nous publions des bulletins de vulnérabilité, nous tenons à leur accorder le crédit qui leur revient. Si vous préférez rester derrière un alias (handle) ou anonyme, nous le respecterons bien sûr.

Bien que nous essayions de voir le problème de votre point de vue, dans certains cas, nous pouvons estimer que le problème que vous avez découvert ne présente pas de risque ou qu'il ne s'agit pas d'un bug de sécurité ou de confidentialité. Dans ces cas, aucune récompense ne sera versée.

Aucune récompense ne sera versée si la découverte est rendue publique, de quelque manière que ce soit, avant qu'elle ne soit corrigée. Si quelqu'un d'autre a déjà signalé la découverte auparavant, nous vous en informerons après la résolution du problème. Si plusieurs chercheurs signalent le même problème, nous récompensons uniquement l'expéditeur du premier rapport qui nous fournit suffisamment de détails techniques pour reproduire la découverte. Nous savons que cela nous permettrait de prétendre que tout a déjà été découvert auparavant, mais faites-nous confiance, nous travaillons avec honneteté.

Récompenses

Récompenses 

Le montant de la récompense est uniquement déterminé par l'équipe technique de WithSecure, et est basé sur le risque estimé posé par la vulnérabilité. La gamme actuelle de récompense est comprise entre EUR 100 à EUR 15,000.

Si vous signalez plusieurs problèmes qui sont des doublons dans différentes parties du service (par exemple, le même code fonctionnant sur différents nœuds ou plates-formes), ou faisant partie d'un problème plus important, ceux-ci peuvent être combinés en un seul et une seule récompense peut être payée.

Le tableau suivant fournit plusieurs classes de bogues et leur prime correspondante. Bien que toutes les classes de bogues ne soient pas couvertes par cette liste, vous pouvez avoir une idée de la gravité par rapport à la récompense en examinant les exemples suivants.

Reward amount (€)Example
Up to 15,000
  • Exécution de code à distance sur le serveur de production

    Inclusion de fichiers à distance sur le serveur de production

    Contournement important de l'authentification sur le serveur de production contenant des informations critiques

Up to 5,000
  • Exécution de code à distance sur un logiciel client

    Extraction de données d'un serveur de production

    Problème de contrôle d'accès qui expose des informations personnellement identifiables

Up to 2,000
  • Exécution de code à distance dans une sandbox

    Escalade de privilèges locaux

    Déni de service persistant sur l'antivirus ou la fonctionnalité de confidentialité

Up to 500
  • Déni de service temporaire de l'antivirus ou de la fonctionnalité de confidentialité

    Mauvaise configuration liée à la sécurité sur le serveur de production ou le logiciel client

Paiements

Paiements


IMPORTANT ! Veuillez ne pas nous envoyer vos informations de paiement à l'avance. Nous vous demanderons les informations appropriées si et quand un paiement est dû.

Les paiements sont effectués sous forme de virements bancaires au sein de l'espace unique de paiement en euros (SEPA) ou de virements bancaires internationaux (wire) en dehors du SEPA. Nous ne pouvons pas utiliser les chèques, les crypto-monnaies ou utiliser tout autre service de transfert d'argent. Le destinataire du paiement est responsable de tous les frais ou commissions prélevés sur le transfert, et de l'accès aux fonds une fois transférés. Les paiements sont effectués par défaut en euros (EUR) et toute conversion de devise est effectuée au taux bancaire en vigueur.

Nous sommes tenus de déclarer toutes les récompenses individuelles des chercheurs à l'administration fiscale finlandaise, quel que soit votre lieu de résidence. Pour ce faire, et pour effectuer le paiement, nous vous demanderons ultérieurement votre nom complet, votre date de naissance et une adresse postale physique actuelle, ainsi que vos coordonnées bancaires (virement). Si vous avez une entreprise, nous pouvons vous demander de nous envoyer une facture à la place.

Les taxes éventuelles sont à la charge du destinataire. Si vous êtes imposé en Finlande, nous sommes tenus de collecter l'impôt à la source et avons besoin de votre numéro d'identification personnel et, éventuellement, de votre certificat d'imposition pour l'année en cours.

Ces exigences d'identification nous sont imposées par les autorités et nous ne pouvons y déroger. En outre, les paiements ne sont pas effectués vers des pays ou des juridictions soumis à un embargo, ni vers des personnes ou des entités figurant sur une liste de sanctions.

En raison de ces exigences d'identification, nous ne traiterons directement qu'avec le déclarant initial. Nous n'utiliserons que l'adresse électronique indiquée dans le rapport initial. Assurez-vous donc d'avoir toujours accès au compte de messagerie utilisé pour envoyer le rapport initial.

Autres déclarations juridiques

Autres déclarations juridiques

 

Nos avocats nous demandent d'attirer l'attention sur les éléments suivants :

Vous pouvez faire de l'ingénierie inverse et décompiler les clients WithSecure strictement et uniquement dans le but de mener des recherches sur la sécurité pour ce programme Bug bounty. Cette permission s'applique uniquement aux clients WithSecure explicitement nommés et listés dans ce programme, excluant tout composant tiers sous licence. Vous ne pouvez pas divulguer, montrer ou publier à des tiers tout code ou partie de celui-ci sous quelque forme que ce soit résultant de cette permission.

Une description de l'enregistrement des données personnelles, utilisées pour le paiement des récompenses est disponible ici.

WithSecure se réserve le droit d'interrompre ce programme de récompense et de modifier ses conditions à tout moment sans notification préalable. Ce texte a été modifié pour la dernière fois le 05-01-2022. Sauf prolongation spécifique ici, le programme de récompense de vulnérabilité actuel se terminera le 31 décembre 2022. Toutes les décisions concernant le paiement des récompenses sont définitives. Les règles de ce programme de récompense ou toute communication liée à celui-ci ne fournissent ou n'impliquent aucune obligation envers WithSecure de quelque nature que ce soit.

Autres liens

Alertes de sécurité

Get the details and fixes for vulnerabilities found in WithSecure™ products.

Pour en savoir plus

Hall of Fame

WithSecure souhaite remercier les chercheurs en sécurité qui ont contribué à rendre nos produits et services plus sûrs en signalant des failles de sécurité valides dans le cadre de notre programme de récompense des failles de sécurité.

Pour en savoir plus

Nos prix et distinctions