Clause de non-responsabilité

La sécurité de ce site Web est très importante pour CCV Group. Malgré tous les soins apportés au renforcement de la sécurité de nos systèmes d’information, il est néanmoins toujours possible que notre site Web soit vulnérable.

Nous apprécions l’aide des experts en sécurité et autres spécialistes de la communauté de la sécurité dans le but d’améliorer la sécurité de notre site Web. Nous souhaiterions travailler avec vous à l’amélioration de la protection de nos clients et de notre site Web.

Ce que nous vous demandons :

  • Envoyez vos constatations par e-mail à security@ccv.eu. Cryptez vos constatations avec notre clé PGP pour éviter que les informations ne tombent entre de mauvaises mains.
  • N’abusez pas du problème en téléchargeant plus de données que nécessaire pour détecter la fuite ou pour contrôler, supprimer ou modifier les données de tiers.
  • Ne partagez pas le problème avec d’autres tant qu’il n’a pas été résolu et supprimez toutes les données confidentielles obtenues par le biais de la fuite dès que le problème a été résolu.
  • N’utilisez pas d’attaques sur notre sécurité physique, ingénierie sociale, attaques par déni de service distribué, spams ou applications tierces.
  • Fournissez suffisamment d’informations pour reproduire le problème, afin que nous puissions le résoudre le plus rapidement possible. Généralement, l’adresse IP ou l’URL du système affecté et une description de la vulnérabilité suffisent, mais les vulnérabilités plus complexes peuvent nécessiter des informations plus détaillées.

Ce que nous promettons :

  • Nous répondrons à votre notification dans un délai de 5 jours.
  • Attendez la notification de la résolution de la vulnérabilité avant de la divulguer.
  • Si vous avez respecté les conditions ci-dessus, nous n’engagerons aucune action en justice concernant la notification.
  • Nous traitons votre rapport de manière confidentielle et nous ne partagerons pas vos informations personnelles avec des tiers sans votre accord, sauf obligations légales. Il est possible de faire un rapport sous un pseudonyme.
  • Nous offrons une récompense pour toute notification que nous qualifions de vulnérabilité. Nous déterminons la hauteur de la récompense en fonction de la gravité de la fuite et de la qualité de la notification avec un bon d’achat de 50 € minimum.

Vulnérabilités admissibles :

Nous avons défini les vulnérabilités admises comme suit : vulnérabilités d’application web comme XSS, XXE, CSRF, SQLi, Local ou Remote File Inclusion, authentication issues, remote code execution, et problèmes d’autorisation et privilege escalation. Ces vulnérabilités admissibles doivent avoir un impact sur la sécurité de l’application Web et entraîner une augmentation du risque pour nos clients. Vous devez être le premier expert à divulguer de manière responsable la vulnérabilité.

Chaque soumission sera évaluée au cas par cas, voici une liste de certains des problèmes qui ne sont pas admissibles en tant que vulnérabilités de la sécurité

  • Rapports d’anciennes versions logicielles
  • Meilleures pratiques manquantes ou sortie d’outils d’analyse automatisés sans preuve d’exploitabilité
  • UI et UX bugs et fautes d’orthographe
  • Problèmes liés à TLS/SSL
  • Configurations SPF, DMARC, DKIM
  • Vulnérabilités dues à des navigateurs ou à des plugins obsolètes
  • Content-Security Policies (CSP)
  • Vulnérabilités dues à des produits en fin de vie
  • Absence de secure flag sur les cookies
  • Énumération du nom d’utilisateur
  • Vulnérabilités s’appuyant sur l’existence de plugins comme Flash
  • Failles affectant les utilisateurs de navigateurs et de plugins obsolètes
  • Security headers manquant tels que, mais ne se limitant pas à, « content-type-options », « X-XSS-Protection »
  • CAPTCHAs manquant en tant que mécanisme de protection de sécurité
  • Problèmes impliquant une application malveillante installée sur l’appareil
  • Vulnérabilités requérant un dispositif jailbroken
  • Vulnérabilités requérant un accès physique à des appareils mobiles
  • Utilisation d’une bibliothèque connue pour sa vulnérabilité sans preuve d’exploitabilité.
  • Attaques Tap-jacking et UI-redressing impliquant d’amener l’utilisateur par la ruse à appuyer sur un élément UI.