Politique de divulgation des vulnérabilités

Travailler & collaborer avec la communauté des chercheurs pour améliorer notre sécurité en ligne.

TopCashback apprécie grandement le travail d'investigation sur les failles de sécurité effectué par des chercheurs en sécurité éthiques et bien intentionnés. Nous nous engageons à étudier et à résoudre les problèmes de sécurité de notre plateforme et de nos services en collaboration avec la communauté de chercheurs en sécurité. Ce document vise à définir une méthode par laquelle TopCashback peut collaborer avec les chercheurs en sécurité pour améliorer notre sécurité en ligne.

Champ d'application

Les vulnérabilités dans les produits et services TopCashback entrent dans le cadre du programme prime aux bugs uniquement lorsqu'elles remplissent les conditions suivantes :

  • Elles n'ont pas été signalées précédemment ou n'ont pas déjà été découvertes par nos propres procédures internes ;
  • Il peut être démontré qu'il y aurait un impact réel pour TopCashback, son personnel ou ses membres si la vulnérabilité signalée était exploitée par une menace. L'existence d'une vulnérabilité ne démontre pas nécessairement qu'un tel impact potentiel existe : les impacts théoriques ne seront pas considérés comme faisant partie du champ d'application du programme ;
  • Elle existe dans un domaine qui possède un fichier security.txt dans son dossier .well-known. Les sous-domaines sont considérés dans le champ d'application à condition que le domaine principal soit dans le champ d'application. (par exemple : l'existence de : https://topcashback.fr/.well-known/security.txt signifie que le sous-domaine .topcashback.fr et www.topcashback.fr sont également dans le champ d'application ).

Les problèmes de sécurité suivants sont actuellement hors de portée (veuillez ne pas les signaler) :

  • Les vulnérabilités volumétriques/de déni de service (c'est-à-dire le simple fait de submerger notre service avec un volume élevé de demandes) ;
  • Faiblesses de la configuration TLS (par exemple, prise en charge de suites de chiffres "faibles", prise en charge de TLS1.0, sweet32, etc.) ;
  • Rapports indiquant que nos services ne sont pas entièrement conformes aux "meilleures pratiques" (par exemple, en-têtes de sécurité manquants ou configurations sous-optimales liées au courrier électronique, telles que SPF, DMARC, etc.) ;
  • Problèmes relatifs à la vérification des adresses électroniques utilisées pour créer des comptes d'utilisateur ;
  • Les vulnérabilités du détournement de clic ;
  • Auto-XSS (Self-XSS) (c'est-à-dire lorsqu'un utilisateur doit être amené à coller du code dans son navigateur web) ;
  • Les vulnérabilités CSRF (falsification de requête inter-sites) lorsque l'impact résultant est minime ;
  • Les attaques CRLF dont l'impact est minime ;
  • Les attaques par en-tête d'hôte lorsque l'impact est minime ;
  • Les techniques d'énumération de données du réseau (par exemple, saisie de bannières) ;
  • Rapports sur une mauvaise gestion des sessions / vulnérabilité de la gestion des sessions.
Retour en haut de la page

Prime aux bugs

Malheureusement, TopCashback ne propose pas actuellement de programme de primes aux bugs. Nous souhaitons cependant offrir un témoignage de notre reconnaissance aux chercheurs en sécurité qui prennent le temps d'enquêter et de nous signaler les vulnérabilités. Les rapporteurs de vulnérabilités qualifiées se verront offrir une récompense TopCashback unique.

Retour en haut de la page

Signaler une vulnérabilité

Si vous avez découvert un problème que vous considérez comme une vulnérabilité de sécurité dans le champ d'application (voir la section 2 ci-dessus pour plus de détails sur le champ d'application), veuillez envoyer un courriel à protect@topcashback.co.uk en indiquant :

  • Le site web ou la page dans laquelle se trouve la vulnérabilité.
  • Une brève description de la classe (par exemple, "vulnérabilité XSS") de la vulnérabilité. Veuillez éviter d'inclure des informations détaillées qui permettraient de reproduire le problème à ce stade. Des informations détaillées seront demandées par la suite.

Conformément à la convention du secteur, nous demandons aux rapporteurs de fournir une preuve d'exploitation mineure(c'est-à-dire non dommageable) dans la mesure du possible. Cela permet de s'assurer que le rapport peut être trié rapidement et avec précision, tout en réduisant la probabilité de rapports en double et/ou d'exploitation malveillante pour certaines classes de vulnérabilités (par exemple, les prises de contrôle de sous-domaines). Veillez à ne pas envoyer votre preuve d'exploitation dans l'e-mail initial en texte clair si la vulnérabilité est toujours exploitable. Veuillez également vous assurer que toutes les preuves d'exploitation sont conformes à nos conseils (ci-dessous). En cas de doute, veuillez envoyer un courriel à protect@topcashback.co.uk pour obtenir des conseils.

Veuillez lire ce document dans son intégralité avant de signaler toute vulnérabilité afin de vous assurer que vous comprenez la politique et que vous pouvez agir en conformité avec celle-ci.

Retour en haut de la page

A quoi s’attendre

En réponse à votre premier e-mail à protect@topcashback.co.uk, vous recevrez un accusé de réception de la part de l'équipe de sécurité TopCashback, généralement dans les 72 heures suivant la réception de votre rapport. Cet accusé de réception comprendra un numéro de référence d’un ticket que vous pourrez citer dans toute communication ultérieure avec notre équipe de sécurité. Une clé PGP sera jointe à l'accusé de réception. Vous pourrez l'utiliser pour crypter les communications futures contenant des informations sensibles.

Après le contact initial, notre équipe de sécurité analysera la vulnérabilité signalée et vous répondra dès que possible pour confirmer si des informations supplémentaires sont nécessaires et/ou si la vulnérabilité est conforme à la portée ci-dessus ou s'il s'agit d'un rapport en double. À partir de ce moment, les travaux de correction nécessaires seront confiés aux équipes TopCashback et/ou aux fournisseurs appropriés. La priorité pour les corrections de bugs et/ou les mesures d'atténuation seront attribuées en fonction de la gravité de l'impact et de la complexité de l'opération. Les rapports de vulnérabilité peuvent prendre un certain temps pour être analysés et traités. Vous êtes invité à vous renseigner sur l'état d'avancement du processus, mais ne le faites pas plus d'une fois tous les 14 jours, afin que notre équipe de sécurité puisse se concentrer sur les rapports autant que possible.

Notre équipe de sécurité vous informera lorsque la vulnérabilité signalée sera résolue (ou que le travail de remédiation sera programmé) et vous demandera de confirmer que la solution couvre la vulnérabilité de manière adéquate. Nous vous offrirons la possibilité de nous faire part de vos commentaires sur le processus et la relation ainsi que sur la résolution de la vulnérabilité. Ces informations seront utilisées de manière strictement confidentielle afin de nous aider à améliorer la manière dont nous traitons les rapports et/ou développons des services et résolvons les vulnérabilités. Nous proposerons également d'inclure les rapporteurs de vulnérabilités qualifiées sur notre page de remerciements et nous vous demanderons les détails que vous souhaitez voir figurer.

Retour en haut de la page

Encadrement

Les chercheurs en sécurité ne doivent pas :

  • Accéder à des quantités inutiles de données. Par exemple, 2 ou 3 enregistrements sont suffisants pour démontrer la plupart des vulnérabilités (telles qu'une vulnérabilité d'énumération ou de référence directe à un objet) ;
  • Violer la vie privée des utilisateurs, du personnel, des sous-traitants, des systèmes de TopCashback. Par exemple en partageant, redistribuant et/ou en ne sécurisant pas correctement les données extraites de nos systèmes ou services ;
  • Communiquer des vulnérabilités ou des détails associés par des méthodes non décrites dans cette politique ou avec toute personne autre que votre contact dédié à la sécurité de TopCashback ;
  • Modifier des données dans nos systèmes/services qui ne sont pas les vôtres ;
  • Interrompre nos services et/ou systèmes ; ou
  • Divulguer toute vulnérabilité des systèmes/services de TopCashback à des tiers/au public avant que TopCashback ne confirme que ces vulnérabilités ont été constatées ou/et traitées. Cela n'empêche pas la notification d'une vulnérabilité à des tiers pour lesquels la vulnérabilité est directement pertinente, par exemple lorsque la vulnérabilité signalée concerne une bibliothèque ou un cadre logiciel - les détails de la vulnérabilité spécifique de TopCashback ne doivent pas être mentionnés dans ces rapports. Si vous n'êtes pas sûr du statut d'une tierce partie à laquelle vous souhaitez envoyer une déclaration, veuillez envoyer un courriel à protect@topcashback.co.uk pour obtenir des éclaircissements.

Nous demandons que toutes les données récupérées au cours de la recherche soient supprimées de manière sécurisée dès qu'elles ne sont plus nécessaires et au maximum, 1 mois après la résolution de la vulnérabilité. En outre, nous vous demandons de confirmer la date de suppression des données par courrier électronique à protect@topcashback.co.uk

Si vous n'êtes pas certain que les actions que vous envisagez de prendre sont acceptables, veuillez contacter notre équipe de sécurité pour obtenir des conseils (veuillez ne pas inclure d'informations sensibles dans les communications initiales) : protect@topcashback.co.uk

Retour en haut de la page

Mentions légales

Cette politique est conçue pour être compatible avec les bonnes pratiques courantes des chercheurs en sécurité étant bien intentionnés. Elle ne vous donne pas l'autorisation d'agir d'une manière incompatible avec la loi ou de faire en sorte que TopCashback soit en infraction avec l'une de ses obligations légales :

  • Le « Computer Misuse Act (1990) »
  • Le règlement général sur la protection des données 2016/679 (GDPR) et la loi sur la protection des données 2018.
  • La loi sur le droit d'auteur, les dessins et modèles et les brevets (1988).

Le Groupe TopCashback ne cherchera pas à poursuivre en justice tout chercheur en sécurité de bonne foi conformément à cette politique, qui signale toute vulnérabilité de sécurité sur un service TopCashback du champ d'application.

Retour en haut de la page

Feedback

Si vous souhaitez nous faire part d’un commentaires ou de suggestions concernant cette politique, veuillez contacter notre équipe de sécurité : protect@topcashback.co.uk. Cette politique évoluera au fil du temps et votre contribution sera appréciée afin de garantir qu'elle soit claire, complète et reste pertinente.

Retour en haut de la page