Programme de divulgation des vulnérabilités

La sécurité est au cœur de nos valeurs chez JOIN, et nous apprécions la contribution des chercheurs en sécurité agissant de bonne foi pour nous aider à maintenir un haut niveau de sécurité et de protection de la vie privée pour nos utilisateurs. Cela inclut l’encouragement d’une recherche et d’une divulgation responsables des vulnérabilités. Cette politique définit ce que nous entendons par bonne foi dans le contexte de la découverte et du signalement de vulnérabilités, ainsi que ce que vous pouvez attendre de nous en retour.

Lorsque vous travaillez avec nous conformément à cette politique, vous pouvez attendre de nous que nous :

• Étendions le Safe Harbor à votre recherche de vulnérabilités relative à cette politique ;
• Travaillions avec vous pour comprendre et valider votre signalement, avec une première réponse rapide à votre soumission ;
• Corrigions les vulnérabilités découvertes dans des délais raisonnables.

Toute vulnérabilité considérée comme dans le périmètre doit être signalée à [email protected]. Merci de garder confidentielle toute communication relative aux vulnérabilités signalées entre vous et JOIN jusqu’à ce que nous ayons eu l’occasion de traiter le problème. Fournissez des rapports détaillés avec des étapes reproductibles. Si le rapport n’est pas suffisamment détaillé pour reproduire le problème, celui-ci ne sera pas éligible à une récompense.

Pour encourager la recherche de vulnérabilités et éviter toute confusion entre une recherche légitime et une attaque malveillante, nous vous demandons d’essayer, de bonne foi, de :

• Respecter les règles. Conformez-vous à cette politique et à tous les autres accords pertinents, par exemple les conditions d’utilisation ;
• Signaler toute vulnérabilité que vous avez découverte sans délai ;
• Éviter de violer la vie privée d’autrui, de perturber nos systèmes, de détruire des données et/ou de nuire à l’expérience utilisateur ;
• Utiliser uniquement les canaux officiels pour discuter avec nous des informations relatives aux vulnérabilités ;
• Traiter la confidentialité des détails de toute vulnérabilité découverte conformément à la section Divulgation coordonnée ci-dessous ;
• Effectuer des tests uniquement sur les systèmes dans le périmètre, et respecter les systèmes et activités hors périmètre ;
• Si une vulnérabilité fournit un accès non intentionnel aux données des utilisateurs, telles que des informations personnelles identifiables (PII) ou des informations propriétaires, vous devez arrêter les tests, soumettre un rapport immédiatement et ne pas enregistrer, stocker, transférer ou accéder autrement aux données ;
• N’interagir qu’avec les comptes qui vous appartiennent, sauf autorisation explicite du titulaire du compte ;
• Ne pas vous livrer à l’extorsion ;
• Être clair et concis. Un court lien vers une preuve de concept est inestimable ;
• Ne jamais tenter d’attaques non techniques (ingénierie sociale, phishing, attaques physiques) contre nos employés, utilisateurs ou infrastructure ;
• Ne pas consulter, modifier, enregistrer, stocker, transférer ou accéder autrement à nos données ou à celles de nos utilisateurs sans autorisation explicite.

Nous pouvons modifier les conditions ou mettre fin à ce programme à tout moment.

Lorsque vous menez une recherche de vulnérabilités conformément à cette politique, nous considérons la recherche menée dans le cadre de cette politique comme :

• Autorisée au regard des lois anti-piratage applicables, et nous n’engagerons ni ne soutiendrons aucune action en justice contre vous pour des violations accidentelles et de bonne foi de cette politique ;
• Autorisée au regard des lois anti-contournement pertinentes, et nous ne porterons aucune plainte contre vous pour contournement de mesures de contrôle techniques ;
• Exemptée des restrictions de notre politique d’utilisation acceptable qui interféreraient avec la conduite de recherches en sécurité, et nous renonçons à ces restrictions de manière limitée ;
• Légale, utile à la sécurité globale d’Internet, et menée de bonne foi.

Vous êtes tenu, comme toujours, de respecter toutes les lois applicables. Si un tiers engage une action en justice contre vous et que vous vous êtes conformé à cette politique, nous prendrons des mesures pour faire savoir que vos actions ont été menées conformément à cette politique.

Si, à tout moment, vous avez des préoccupations ou n’êtes pas sûr que votre recherche en sécurité soit conforme à cette politique, écrivez-nous à [email protected] avant d’aller plus loin.

Ce programme s’applique uniquement aux vulnérabilités affectant les systèmes hébergés sur join.com.

Tout problème de conception ou de mise en œuvre qui affecte substantiellement la confidentialité ou l’intégrité des données des utilisateurs sera probablement considéré comme dans le périmètre. Les exemples courants incluent :

• Cross-Site Scripting.
• Cross-Site Request Forgery.
• Scripts à contenu mixte.
• Failles d’authentification ou d’autorisation.
• Bugs d’exécution de code côté serveur.
• Contournement de notre modèle de permissions.
• Injection SQL.
• Attaques XML External Entity.

Bien que cette liste reflète la recherche que nous priorisons, elle ne doit pas être considérée comme exhaustive. Tout rapport concernant une possible compromission des données utilisateurs sera probablement dans le périmètre.

Les problèmes suivants sont explicitement hors du périmètre de ce programme :

• Politiques sur la présence/absence d’enregistrements SPF/DMARC.
• Politiques de mot de passe, d’e-mail et de compte, telles que la vérification de l’identifiant e-mail, l’expiration des liens de réinitialisation et la complexité des mots de passe.
• Cross-Site Request Forgery sur la déconnexion.
• Attaques nécessitant un accès physique à l’appareil d’un utilisateur.
• XSS sur tout site autre que join.com.
• Attaques nécessitant un outil d’exploitation superposé à notre application (par exemple, tapjacking).
• Vulnérabilités nécessitant qu’une victime potentielle installe un logiciel non standard ou prenne d’autres mesures actives pour se rendre vulnérable.
• Vulnérabilités affectant les utilisateurs de navigateurs ou de plateformes obsolètes.
• Ingénierie sociale visant nos employés ou sous-traitants.
• Toute tentative physique contre nos locaux ou centres de données.
• Présence de l’attribut autocomplete dans les formulaires web.
• Absence de drapeaux sur les cookies non sensibles.
• Tout accès à des données nécessitant que l’utilisateur ciblé utilise un appareil mobile rooté.

Les problèmes suivants sont hors du périmètre de notre programme, sauf s’ils sont accompagnés d’une preuve d’exploitabilité :

• Utilisation d’une bibliothèque connue comme vulnérable.
• Bonnes pratiques manquantes.
• Chiffrements SSL/TLS non sécurisés.
• En-têtes de sécurité manquants qui ne conduisent pas directement à une vulnérabilité.
• Absence de jetons CSRF, sauf lorsqu’une action sensible de l’utilisateur non protégée par un jeton est démontrée.
• Injections d’en-tête Host.
• Rapports issus d’outils ou de scans automatisés qui n’ont pas été validés manuellement.
• Présence d’informations de bannière ou de version, sauf s’il s’agit d’une version vulnérable.

Les chercheurs ne peuvent partager les détails d’une vulnérabilité avec des tiers qu’après la correction de la vulnérabilité et l’accord du programme. Nous travaillerons avec vous pour définir un calendrier de divulgation raisonnable, en fonction de la gravité et de la complexité du problème.

Des questions sur ce programme ? Contactez notre équipe sécurité à [email protected].