SKIKK Responsible Disclosure Program
Aperçu
Chez SKIKK, la sécurité de nos systèmes et la protection des données de nos clients sont primordiales.
Malgré nos efforts, des vulnérabilités peuvent subsister. C'est pourquoi nous accueillons favorablement la recherche responsable en sécurité et proposons ce Responsible Disclosure Program, permettant aux chercheurs de signaler des problèmes de sécurité de manière sûre et éthique.
Ce programme est exclusivement destiné à la recherche en sécurité de bonne foi. Il ne s'agit pas d'un programme de bug bounty et il n'offre aucune récompense monétaire.
Périmètre
Domaines inclus dans le périmètre
-
www.skikk.eu
Seuls les systèmes détenus et gérés par SKIKK entrent dans le périmètre. Les services tiers, les intégrations et les prestataires externes sont hors périmètre, sauf indication expresse contraire.
Catégories de vulnérabilités dans le périmètre
Nous nous intéressons particulièrement aux vulnérabilités susceptibles d'affecter la confidentialité, l'intégrité ou la disponibilité de nos systèmes ou des données clients, notamment mais sans s'y limiter :
-
Sensitive Data Exposure
-
Problèmes d'authentification & de gestion de session
-
Insecure Direct Object References (IDOR)
-
Vulnérabilités d'injection (SQL, command, etc.)
-
Cross-Site Scripting (XSS) – stored ou reflected
-
Remote Code Execution (RCE)
-
Security misconfiguration
-
Broken access control
-
Directory / path traversal
-
Exposition d'identifiants ou de secrets
Constatations hors périmètre
Les éléments suivants sont hors périmètre et peuvent être clôturés sans évaluation approfondie :
-
Ingénierie sociale, phishing, vishing ou usurpation d'identité
-
Tests de déni de service (DoS / DDoS)
-
Attaques par force brute ou énumération de comptes
-
Résultats de scanners automatisés sans validation manuelle
-
Suggestions concernant une politique de mots de passe faible
-
En-têtes HTTP manquants sans risque démontré
-
Cookie flags sur des cookies non sensibles
-
Clickjacking ou CSRF sur des pages non sensibles
-
Problèmes de configuration e-mail SPF / DKIM / DMARC
-
Open redirects sans impact sur la sécurité
-
Auto-exploitation ou problèmes purement théoriques
-
Problèmes nécessitant une interaction utilisateur irréaliste
-
Vulnérabilités déjà connues de SKIKK
-
Signalements basés sur des identifiants divulgués, volés ou compromis
Règles pour la recherche
Lors des tests, vous devez :
-
Tester uniquement sur des comptes que vous possédez et gérez vous-même
-
Éviter toute action qui affecte la disponibilité du service
-
Ne pas accéder, modifier ou supprimer les données d'autres utilisateurs
-
Ne pas téléverser de malware ou de payloads malveillants
-
Ne pas exploiter les vulnérabilités au-delà d'un proof of concept
-
Ne pas effectuer de tests de sécurité physique
-
Ne pas divulguer publiquement les vulnérabilités avant leur résolution
-
Supprimer toutes les données sensibles obtenues lors des tests
Le non-respect de ces règles peut entraîner l'exclusion du programme.
Signaler une vulnérabilité
Les signalements peuvent être soumis par e-mail à :
security@skikk.eu
Votre signalement doit contenir les éléments suivants :
-
Une description claire du problème
-
URL(s) ou endpoint(s) concerné(s)
-
Étapes pour reproduire
-
Proof of concept lorsque cela s'applique
-
Évaluation de l'impact
Les signalements incomplets ou peu clairs peuvent être rejetés.
Notre engagement
Si vous suivez cette politique, nous nous engageons à :
-
Confirmer la réception de votre signalement
-
Évaluer et valider les problèmes signalés
-
Vous tenir informé de l'avancement lorsque cela est approprié
-
Ne pas engager de poursuites contre la recherche de bonne foi
-
Traiter votre signalement de manière confidentielle
Les délais de résolution peuvent varier en fonction de la gravité et de la complexité.
Aucune récompense
SKIKK n'offre aucune récompense monétaire, bounty ou paiement pour les vulnérabilités signalées. Il s'agit d'un programme de responsible disclosure basé sur une collaboration de bonne foi, et non d'un programme de bug bounty rémunéré.
Nous apprécions grandement le temps et les efforts des chercheurs en sécurité, et nous nous ferons un plaisir de reconnaître les contributions valides lorsque cela est approprié, mais la participation est volontaire et n'ouvre droit à aucune indemnisation.
Conditions juridiques
En soumettant un signalement, vous confirmez que :
-
Vous êtes l'auteur original du signalement
-
Vous accordez à SKIKK le droit d'utiliser et de traiter votre signalement
-
Vous ne divulguerez pas publiquement la vulnérabilité sans autorisation écrite
-
Vous n'utiliserez pas le nom ou la marque SKIKK à des fins promotionnelles
Pour conclure
Ce programme peut être modifié ou interrompu à tout moment sans préavis. La participation est volontaire et n'ouvre droit à aucune récompense ou indemnisation.
Merci de nous aider à assurer la sécurité de SKIKK et de nos clients.