Programme de divulgation responsable (Responsible disclosure program)
Vous avez découvert des vulnérabilités sur les plateformes MC ? Signalez-les en échange d'une récompense.
Accords généraux
Toute personne physique ou morale peut signaler l'existence d'une éventuelle vulnérabilité. Le signalement se fait par écrit, conformément à la procédure décrite plus loin dans ce document.
Le CM-MC CSIRT enquête et effectue des tests afin de déterminer s'il s'agit bien d'une vulnérabilité potentielle ou d'examiner les méthodes utilisées par le déclarant.
Le CM-MC CSIRT garantit l'exhaustivité, l'intégrité, le stockage durable et la confidentialité des informations transmises via le signalement, ainsi que l'identité de la personne ayant communiqué ces informations, dans la mesure où celle-ci en fait la demande.
Les déclarants ne commettent aucune infraction pour les faits nécessaires au signalement, à condition que :
- Ils aient agi sans intention frauduleuse ni volonté de nuire.
- Ils aient informé dès que possible l'organisation responsable du système, du processus ou du contrôle de la découverte d'une vulnérabilité potentielle.
- Ils ne soient pas allés au-delà de ce qui était nécessaire et proportionné pour vérifier l'existence d'une vulnérabilité.
- Ils n'aient pas divulgué publiquement les informations relatives à la vulnérabilité découverte sans l'autorisation du CM-MC CSIRT.
- Ils ne conservent aucune copie des données après avoir effectué le signalement.
Les personnes signalant une vulnérabilité dont elles ont eu connaissance dans le cadre de leur profession ne sont pas considérées comme ayant violé leur secret professionnel et ne peuvent en aucun cas être tenues responsables de la transmission des informations nécessaires au signalement d'une vulnérabilité potentielle au CM-MC CSIRT.
Scope
Récompenses
Tous les risques sont évalués en fonction de la dernière version du calculateur CVSS.
-
500 € et inscription au Hall of Fame
Les vulnérabilités entraînant la fuite d'un grand nombre de données personnelles (50 enregistrements ou plus).
-
100 € et inscription au Hall of Fame
Les vulnérabilités critiques et celles entraînant la fuite d'un nombre limité de données personnelles.
-
50 € et inscription au Hall of Fame
Les vulnérabilités de niveau élevé.
-
Inscription au Hall of Fame
Toutes les autres vulnérabilités.
Les récompenses et l'évaluation des risques peuvent être ajustées par le CM-MC CSIRT en cas de situations ne correspondant pas au cadre mentionné ci-dessus.
Les récompenses sont versées après validation du correctif de la vulnérabilité par le déclarant.
Les employés ou ex-employés (externes ou internes) ayant travaillé pour la CM-MC ou pour ses fournisseurs au cours de la dernière année ne sont pas éligibles aux récompenses.
Paiement des personnes physiques
Les récompenses versées aux personnes physiques sont affichées en montants nets.
Une fois le triage terminé, le découvreur de la vulnérabilité doit soumettre les informations suivantes afin que la CM-MC puisse effectuer le paiement (après correction et nouveau test) :
- Prénom
- Nom
- Adresse
- Numéro de registre national
La CM-MC établira ensuite une fiche fiscale et l'enverra au découvreur.
Paiement des entités juridiques
Les personnes morales doivent envoyer une facture à l'adresse e-mail mentionnée dans la procédure de signalement.
Procédure de signalement
Contactez [email protected] avec les informations nécessaires pour reproduire la vulnérabilité, ainsi que l'emplacement où la vulnérabilité a été trouvée (URL, domaine, page web). Notre CSIRT enverra ensuite une invitation au déclarant pour discuter plus en détail des informations.
Le CM-MC CSIRT répondra dans les 5 jours ouvrables suivant le signalement d'une vulnérabilité, avec le résultat du triage. Ensuite, la vulnérabilité sera suivie sur une base (de travail) quotidienne jusqu'à ce qu'elle soit atténuée et retestée.
