Politique de divulgation de vulnérabilités

BORA Vertriebs GmbH & Co KG est toujours soucieuse d’offrir à ses clients des produits / services avec le plus haut niveau de qualité et de fiabilité. Pour atteindre cet objectif, nous examinons chaque problème de sécurité signalé et identifié par des clients, partenaires ou experts externes.

La directive suivante s’applique à toutes les failles de sécurité dont vous souhaiteriez nous faire part. Nous vous recommandons de lire attentivement cette directive et d’agir conformément à ces dispositions. Cela permet de garantir que les failles de sécurité sont correctement identifiées et traitées comme telles. BORA Vertriebs GmbH & Co KG apprécie le temps et les efforts consacrés pour le signalement des failles de sécurité. Nous souhaitons également vous informer que BORA Vertriebs GmbH & Co KG ne prévoit pas de compensation monétaire pour le signalement de failles de sécurité.

Si vous pensez avoir identifié une faille de sécurité, merci de bien vouloir nous envoyer un rapport via le lien suivant ou par e-mail avec les informations suivantes :

URL ou adresse IP où se trouve la vulnérabilité ;
une courte description du type de faille de sécurité (p. ex. : « vulnérabilité XSS ») ;
étapes à suivre pour la reproduction. Il doit s’agir d’un Proof of Concept bénin et non destructeur. Celui-ci permet de traiter votre rapport de manière rapide et précise, et de réduire la probabilité de messages doubles ou d’exploitation malveillante de certaines vulnérabilités, p. ex. la reprise d’un sous-domaine.

Une fois votre notification reçue, nous commençons à examiner et à corriger la vulnérabilité / faille de sécurité signalée. Nous nous efforçons de réagir à votre message dans un délai de dix jours ouvrés maximum et de le traiter sous quatorze jours. Nous vous tiendrons également informé(e) de nos progrès. La priorité des mesures correctives est déterminée en fonction de l’impact, de la gravité et de la complexité de la vulnérabilité. En signe de reconnaissance, nous citerons les découvreurs sur notre page de remerciements avec leur accord.

Directives

Vous n’êtes pas autorisé(e) à :

enfreindre la législation ou la réglementation en vigueur ;
accéder à des données non nécessaires, excessives ou importantes ;
modifier les données dans les systèmes ou services de l’organisation ;
utiliser des outils de scan invasifs ou destructeurs de grande intensité afin d’identifier des vulnérabilités ;
réaliser des tentatives ou signaler toute forme de refus de service, p. ex. en cas de surcharge d’un service par un grand nombre de demandes ;
perturber les services ou systèmes de l’organisation ;
soumettre des rapports concernant des vulnérabilités inexploitables ou indiquant que les services ne sont pas entièrement conformes aux « meilleures pratiques », p. ex. si des en-têtes de sécurité sont manquants ;
transmettre des rapports concernant des vulnérabilités dans la configuration TLS, p. ex. renfort d’une suite cryptographique « faible » ou présence d’un protocole TLS 1.0 ;
partager des vulnérabilités ou les détails y afférant d’une autre façon que celle décrite dans le document security.txt publié.
pratiquer l’ingénierie sociale, le « phishing » ou toute autre attaque physique sur le personnel ou l’infrastructure de l’organisation ; ou
exiger une compensation financière pour la communication de vulnérabilités.

Vous devez :

toujours respecter la politique de confidentialité et veiller à ne pas porter atteinte à la sphère privée des utilisateurs, collaborateurs ou prestataires, ni aux services et aux systèmes de l’organisation. P. ex., vous ne devez pas transmettre ou redistribuer les données récupérées via les systèmes ou services, ni les enregistrer de manière non conforme.
supprimer toutes les données que vous avez obtenues dans le cadre de vos recherches de manière sûre dès que vous n’en avez plus l’utilité ou dans un délai d’un mois après la résolution de la vulnérabilité, selon l’événement intervenant en premier (ou selon les prescriptions de la loi sur la protection des données).

Mentions légales

Cette directive est conçue de manière à ce que les découvreurs suivant les instructions ne soient pas poursuivis.

Déclaration de vulnérabilités

Si vous étiez amené(e) à identifier des vulnérabilités dans les systèmes informatiques et les applications web de BORA Vertriebs GmbH & Co KG ou dans les produits distribués par BORA Vertriebs GmbH & Co KG, merci de bien vouloir nous en informer. Nous prendrons alors des mesures immédiates pour remédier à la vulnérabilité le plus rapidement possible.

Pour cela, veuillez procéder de la façon suivante :

Avant de signaler un cas, informez-vous sur les cas dépassant le champ d’application de notre politique de divulgation de vulnérabilités et qui ne seraient donc pas traités dans ce cadre.
Envoyez vos résultats concernant le problème de sécurité par e-mail à l’adresse security@bora.com.
N’exploitez les vulnérabilités ou le problème notamment en téléchargeant, modifiant ou supprimant les données, ou bien en téléchargeant du code.
Ne communiquez pas les informations concernant la vulnérabilité à des institutions ou personnes tierces, autres que celles explicitement autorisées par BORA Vertriebs GmbH & Co KG.
Ne lancez pas d’attaque qui pourrait compromettre, modifier ou manipuler les infrastructures ou personnes sur notre système informatique.
N’effectuez pas d’attaque d’ingénierie sociale (p. ex. phishing), en déni de service (distribué), de spam ou toute autre attaque sur BORA Vertriebs GmbH & Co KG.
Fournissez-nous suffisamment d’informations pour que nous puissions reproduire et analyser le problème. Veillez à nous communiqué vos coordonnées de contact pour toute question éventuelle.