Aller au contenu
CardWho
Télécharger l’app

Sécurité

Politique de signalement des vulnérabilités

Chez CardWho, nous accordons de l’importance à la sécurité de nos utilisateurs, à la protection des données personnelles et à la fiabilité de notre plateforme. Si tu penses avoir découvert une vulnérabilité de sécurité sur notre site web, dans nos applications mobiles, nos services d’API, nos tableaux de bord d’administration ou tout autre actif numérique exploité par CardWho, nous te demandons de nous le signaler de manière responsable et sécurisée.

Dernière mise à jour:

Cette politique explique comment soumettre un signalement de vulnérabilité, quels systèmes sont dans le périmètre, quels tests ne sont pas acceptés et ce que tu peux attendre de nous pendant le processus.

Comment signaler une vulnérabilité ?

Si tu penses avoir identifié une vulnérabilité de sécurité, envoie ton signalement à l’adresse suivante :

[email protected]

Partager ton signalement de manière aussi claire, technique et reproductible que possible nous aide à évaluer le problème plus rapidement.

Inclus dans ton signalement, autant que possible, les informations suivantes :

  • La page web, l’écran d’application, l’opération d’API ou le composant système concerné
  • Les étapes pour reproduire le problème
  • La différence entre le comportement attendu et observé
  • L’impact potentiel de la vulnérabilité
  • Appareil, système d’exploitation, navigateur ou version d’application utilisés
  • Captures d’écran, courtes vidéos, journaux ou preuve de concept si disponibles
  • Une explication de la manière de vérifier la vulnérabilité sans en abuser

Merci de ne pas inclure dans ton signalement de données réelles d’utilisateurs, de données personnelles inutiles, d’informations de comptes de tiers ni de contenus sensibles. Si un minimum d’informations suffit à vérifier une vulnérabilité, évite d’en collecter ou d’en transmettre davantage.

Actifs dans le périmètre

Cette politique couvre les actifs numériques exploités et contrôlés directement par CardWho.

Les actifs dans le périmètre comprennent généralement :

  • Les sites web officiels de CardWho
  • Les sous-domaines officiels exploités par CardWho
  • Les applications mobiles officielles iOS et Android de CardWho
  • Les services d’API appartenant à CardWho
  • Les tableaux de bord d’administration appartenant à CardWho
  • Les autres applications, services et composants officiels exploités par CardWho

Le périmètre est limité aux systèmes que CardWho contrôle directement. Les systèmes exploités par des fournisseurs tiers ne sont pris en compte que pour les vulnérabilités résultant d’une configuration ou d’une intégration de CardWho et affectant directement les utilisateurs de CardWho.

Actifs et services hors du périmètre

Les systèmes et services suivants sont hors du périmètre direct de cette politique :

  • Apple App Store
  • Google Play
  • Cloudflare
  • OVH
  • Fournisseurs d’infrastructure de paiement
  • Fournisseurs de services e-mail
  • Outils d’analytique, de notification, de suivi d’erreurs ou de marketing
  • Sites web, API, applications et services tiers non exploités par CardWho

Les vulnérabilités identifiées dans ces services tiers doivent être signalées via les propres canaux de divulgation de chaque fournisseur.

Toutefois, si tu identifies un risque de sécurité résultant d’une configuration côté CardWho d’une intégration tierce et affectant directement les utilisateurs de CardWho, tu peux nous le signaler.

Types de vulnérabilités acceptés

Les types de vulnérabilités suivants peuvent être considérés dans le périmètre :

  • Accès non autorisé
  • Failles d’authentification ou de gestion de session
  • Vulnérabilités d’élévation de privilèges
  • Accès aux données entre utilisateurs
  • Exposition non autorisée de données sensibles
  • Vulnérabilités d’API
  • Vulnérabilités côté serveur
  • Vulnérabilités des applications mobiles
  • Failles de logique métier
  • Mauvaises configurations avec impact de sécurité clairement démontrable
  • Failles avec impact de sécurité sur les flux de paiement, d’abonnement ou de compte
  • Problèmes affectant la vie privée des utilisateurs ou l’intégrité des données

Pour qu’une découverte soit considérée dans le périmètre, elle doit avoir un impact de sécurité réaliste et explicable.

Découvertes hors périmètre

Les signalements suivants sont généralement considérés comme hors périmètre :

  • Résultats de scanners automatiques sans impact de sécurité démontrable
  • En-têtes HTTP manquants de nature uniquement informative
  • Divulgations de versions sans impact de sécurité prouvé
  • Problèmes théoriques sans impact démontrable
  • Failles de Self-XSS à impact limité nécessitant une interaction utilisateur
  • Scénarios nécessitant un appareil, navigateur, système d’exploitation ou compte utilisateur déjà compromis
  • Ingénierie sociale
  • Tentatives de phishing
  • Tests de sécurité physique
  • Tests ciblant des salariés, des utilisateurs, des partenaires ou des prestataires
  • Attaques par déni de service
  • Tests générant un trafic important
  • Attaques par force brute, credential stuffing ou devinette de mots de passe
  • Spam, e-mails de masse, envois de formulaires de masse ou inscriptions automatisées
  • Téléchargement, modification, suppression ou divulgation de données réelles d’utilisateurs
  • Vulnérabilités dans l’infrastructure propre de prestataires tiers
  • Domaines, applications ou systèmes non exploités par CardWho
  • Problèmes n’affectant que l’appareil ou l’environnement local de l’utilisateur
  • Recommandations de bonnes pratiques sans impact de sécurité clairement démontré

CardWho se réserve le droit d’écarter les signalements sans impact de sécurité, non vérifiables ou hors du périmètre.

Règles à respecter pendant la recherche

Pendant la recherche en sécurité, nous attendons de toi le respect des règles suivantes :

  • Ne teste que les systèmes dans le périmètre.
  • Mène tes tests avec un impact minimal.
  • N’essaie pas d’accéder, de télécharger, de modifier ou de supprimer de vraies données d’utilisateurs.
  • Effectue le minimum de tests nécessaires pour vérifier une vulnérabilité.
  • Évite les tests qui pourraient perturber le fonctionnement des systèmes.
  • N’effectue pas d’actions susceptibles de provoquer des interruptions, baisses de performance ou pertes de données.
  • N’essaie pas d’accéder aux comptes, données ou appareils d’autres utilisateurs.
  • N’utilise pas l’ingénierie sociale, le phishing, les attaques physiques ou des méthodes ciblant des salariés.
  • Accorde-nous un délai raisonnable pour évaluer et corriger avant toute divulgation publique.
  • Ne partage pas la vulnérabilité avec des tiers.
  • Utilise les informations obtenues uniquement pour signaler la vulnérabilité.

Les comportements contraires à ces règles ne sont pas considérés comme une recherche de sécurité de bonne foi au titre de cette politique.

Notre processus de réponse

À la réception d’un signalement valide, nous nous efforçons de l’examiner aussi rapidement que possible.

Nos délais cibles de réponse sont les suivants :

Étape Délai cible
Confirmation de réception du signalementDans un délai de 2 jours ouvrés
Évaluation technique initialeDans un délai de 7 jours calendaires
Évaluation de la priorité et de l’impactDans un délai de 10 jours calendaires
Correction ou mitigation pour les découvertes critiquesObjectif : 14 jours
Correction ou mitigation pour les découvertes à priorité élevéeObjectif : 30 jours
Découvertes à priorité moyenne et faiblePlanifiées selon le risque, l’impact et le périmètre technique

Ces délais sont des objectifs. Ils peuvent varier en fonction de la complexité de la vulnérabilité, des dépendances tierces, des processus d’approbation de plateformes, des revues des stores d’applications mobiles ou des contraintes techniques.

Nous pouvons te demander des informations supplémentaires en cas de besoin. L’évaluation de ton signalement dépend du caractère suffisant des informations fournies et de la vérifiabilité de l’impact de sécurité.

Priorisation

Pour évaluer les vulnérabilités, nous prenons en compte les critères suivants :

  • Impact sur les données utilisateurs
  • Probabilité d’un accès non autorisé
  • Nombre d’utilisateurs ou de systèmes touchés
  • Exploitabilité de la vulnérabilité
  • Possibilité d’exploitation à distance
  • Impact sur la continuité d’activité et la fiabilité du service
  • Impact sur la sécurité des paiements, abonnements ou comptes
  • Contrôles d’atténuation existants

CardWho détermine la priorité et le niveau de gravité d’une vulnérabilité signalée selon sa propre évaluation technique et opérationnelle.

Divulgation publique

La divulgation publique des vulnérabilités signalées ne doit avoir lieu qu’avec un accord écrit préalable de CardWho.

Merci de ne pas divulguer publiquement une vulnérabilité avant que les étapes suivantes aient eu lieu :

  • Le signalement nous est parvenu
  • La vulnérabilité a été évaluée techniquement
  • La correction ou la mitigation nécessaire a été appliquée
  • Le moment et le contenu de la divulgation ont été convenus

Le cas échéant et à ta demande, nous pouvons reconnaître publiquement ta contribution. Pour des raisons de sécurité utilisateur, de confidentialité des données, d’enquêtes en cours ou de risque d’abus, une divulgation publique peut toutefois ne pas avoir lieu.

Signalements de bonne foi

Au titre de cette politique, nous évaluons favorablement les recherches menées de bonne foi, restant dans le périmètre, ne portant pas atteinte aux données utilisateurs, ne perturbant pas la continuité de service et signalant la vulnérabilité de manière responsable.

La recherche en sécurité de bonne foi signifie :

  • Les tests sont limités aux systèmes dans le périmètre
  • Aucun accès non autorisé aux données utilisateurs
  • Si un accès a lieu, les données ne sont pas consultées, copiées, stockées ou partagées
  • Aucune interruption de service n’est provoquée
  • La vulnérabilité n’est pas abusée
  • La vulnérabilité n’est pas partagée avec des tiers
  • CardWho dispose d’un délai raisonnable pour évaluer et corriger

Cette politique n’autorise pas les activités malveillantes, les violations de données, les interruptions de service, les atteintes à des tiers ou les tests sur des systèmes hors périmètre.

CardWho se réserve le droit d’évaluer chaque signalement selon ses propres circonstances et de préserver ses droits légaux le cas échéant.

Confidentialité et protection des données

Les données personnelles que tu partages avec nous dans le cadre d’un signalement de vulnérabilité ne sont traitées que pour évaluer ton signalement, communiquer avec toi, vérifier et corriger la vulnérabilité et tenir les registres nécessaires.

Évite de partager dans ton signalement des données personnelles appartenant à des tiers. Si tu te rends compte avoir accédé à des données personnelles pendant la vérification d’une vulnérabilité, interromps immédiatement l’accès et indique-le clairement dans ton signalement.

CardWho peut utiliser les informations obtenues pendant le processus de signalement de sécurité pour assurer la sécurité des utilisateurs, protéger ses systèmes et remplir ses obligations légales.

Contact

Pour les vulnérabilités et les signalements liés à la sécurité, tu peux nous joindre à :

[email protected]

Pour le support général, les partenariats ou les demandes d’utilisateurs en dehors du périmètre des signalements de sécurité, utilise le formulaire de contact officiel de CardWho.