CONDITIONS GENERALES DE DIVULGATION DES BUG BOUNTY DE FULLSECURE
Termes et conditions du scénario Bug Bounty
Ces modalités et conditions sont conclues entre Fullsecure® (16501 Principauté d’Andorre) et le candidat au scénario du Bug Bounty ou du Bug Bounty Challenge. Un candidat peut être identifié comme «chercheur» ou «postulant» ou «journaliste». Les candidats acceptent d’être liés par ces termes et conditions depuis le début de leur demande de participation au scénario et à sa cible jusqu’à la remise de leur rapport qui répond à une problématique de « bug », de « vulnérabilité », « cybersécurité», « cybersûreté » à Fullsecure®.
Processus de soumission des rapports
Les soumissions d’un rapport suite à la participation d’un scénario Bug Bounty de Fullsecure® doivent être faites exclusivement via les diverses plateformes authentifiées et certifiées ou via le site Web de Fullsecure® ou sur site via le document dédié lors d’évènementiel « salon, forum, congrès, atelier, concours » caractérisé par un scénario spécifique pouvant être réalisé en public sur une courte durée « Bug Bounty Challenge ».
Les candidats doivent remplir les informations d’identité et de contact, et les détails du bug logiciel ou de la vulnérabilité qu’ils signalent dans les champs respectifs du formulaire. Les candidats doivent rechercher les produits de Fullsecure® à leur propre rythme, via leurs propres moyens et ressources, avant de soumettre une soumission.
Une fois le rapport soumis, le chercheur doit recevoir une confirmation automatique par courrier électronique que la soumission a bien été enregistrée. Le rapport sera examiné par l’équipe de Fullsecure® dans les sept jours. À la fin de cette période de sept jours, l’équipe doit communiquer avec le chercheur et lui indiquer s’il est admissible à participer à une récompense ou non. Si la vulnérabilité signalée dans le rapport est valide, elle est admissible et assujettie à un type de récompense prédéterminée connue du candidat.
Seul le premier chercheur à signaler une vulnérabilité spécifique est éligible à recevoir une récompense pour la même vulnérabilité spécifique. Fullsecure® se réserve le droit de ne pas divulguer aux chercheurs les détails des rapports précédents des autres candidats.
Chaque soumission sera mise à jour avec des événements significatifs, y compris lorsque le problème a été validé, lorsque nous avons besoin d’informations de votre part ou lorsque vous êtes qualifié pour une récompense.
Parties indépendantes
En aucune manière les candidats ne peuvent être considérés comme des employés, des sous-traitants, des entrepreneurs, avant, pendant et après avoir soumis un rapport. La participation au scénario ne confère pas aux candidats le statut de partenaire et/ou de collaboration d’entreprise avec Fullsecure®. Fullsecure® et le candidat sont considérés comme des parties indépendantes en toutes circonstances.
Admissibilité à la participation
Le scénario du Bug Bounty est ouvert à la participation de toute personne légalement autorisée à participer à des activités de piratage dans la juridiction où elle réside. Certains pays où résident le candidat sont assujettis à des règles de droit interne qui interdisent une contrepartie financière et/ou un avantage en nature pour ce type d’activité de recherche de vulnérabilité. Si tel est le cas, dans l’intention du candidat d’obtenir une récompense les rapports soumis seront omiss du scénario ainsi que de la récompense attachée.
N’est admissible qu’une vulnérabilité découverte par le chercheur qui déclenche un changement de code et/ou de configuration et/ou du système embarqué. En premier ressort, les scénarios Bug Bounty de Fullsecure® font la différence entre la validité technique et la rentabilité, afin de maintenir l’équité entre l’équipe de recherche et développement (R&D) de Fullsecure® et les candidats participants aux scénarios. Cela signifie que Fullsecure® ne récompense que les problèmes réellement pertinents et que l’équipe de recherche et développement (R&D) de Fullsecure® obtiennent des commentaires techniques solides lors de la soumission d’un rapport technique du participant.
Ce qui exclut les rapports techniques relevant un problème qui n’a pas d’impact nécessaire pour obtenir une récompense.
Cependant à titre exceptionnel, l’équipe de R&D de Fullsecure®, peut considérer une récompense sur des rapports qui révèlent un risque non critique ,mais pouvant être validé comme acceptable.
Si vous envisagez de démarrer un scénario, nous vous remercions de préalablement faire une demande de participation via un formulaire d’inscription en ligne ou lors d’un événement.
Les rapports de soumission doivent comporter au minimum les informations suivantes.
- Mentionner en titre s’il s’agit d’un problème de « sécurité critique ». A défaut, il faut inscrire « sécurité non critique » et expliciter.
- En sous-titre, le Bug « adhère aux termes et conditions du scénario ». A défaut, il faut notifier « non critique » et expliciter.
- Dans le préambule du rapport soumis qui serait en tant qu’exception au scénario, Il doit être précisé au début du préambule.
- Dans le rapport doit être notifié :
- 1er alinéa : la première cause rapportée. (les doublons peuvent et doivent être liés au code ou à la modification de la configuration qui résoudrait le problème. Expliciter le problème comme un doublon et expliquer).
- 2ème alinéa : la reproductibilité technique. (Si ce n’est pas reproductible, vous pouvez demander un éclaircissement si cela présente un intérêt technique. Si elle est reproductible, expliciter dans le rapport. Ceci est un critère pouvant déterminer une récompense.)
- 3ème alinéa : le rapport implique un changement de code ou de configuration dans les meilleurs délais ou dans un futur proche. Si cela est avéré, cela fera l’objet d’une récompense. Entendu, que les problèmes ayant plus d’importance devraient recevoir une gratification supplémentaire à discrétion de Fullsecure®. Entendu, que si ce rapport n’implique pas de modification de code, mais que cela doit être pris en considération, expliciter le raisonnement à Fullsecure® pour mettre à jour le scénario dans l’intérêt des futurs participants.
D’une manière générale Fullsecure®, met tout en œuvre pour encourager les candidats. Ainsi, si le chercheur estime que d’autres parties de la cible situées en dehors du scénario sont impactées, ou que son expérience en sécurité numérique permet une réelle optimisation de la sécurité portant un intérêt certain pour les utilisateurs des produits et services, Fullsecure® peut octroyer une récompense spécifique hors cadre des récompenses préalablement publiées avec le scénario.
Communication avec Fullsecure®
Les communications avec Fullsecure® sur chaque vulnérabilité soumise sont lancées au moment où le candidat soumet son rapport avec succès. Le chercheur doit recevoir une réponse de l’équipe de Fullsecure® dans les sept jours.
Toutes les communications entre les deux parties concernant la vulnérabilité signalée spécifique doivent être chiffrées et conservées dans un courrier électronique en chaîne, qui commence par l’e-mail mentionné ci-dessus provenant de l’équipe de Fullsecure®.
Toutes les informations qui ont été échangée entre les deux parties via divers canaux de messageries doivent être remises complètes pour permettre de déterminer l’éligibilité de la récompense du candidat pour le rapport soumis.
Récompense
Après une soumission jugée valide par l’équipe de Fullsecure®, il est déterminé le type de récompense attribué au candidat.
En principe, les détails des récompenses varient pour chaque scénario. Les récompenses peuvent prendre diverses formes financières, biens et services, réduction commerciale, avantage en nature, et autres valeurs.
Le montant dépend du niveau de gravité du problème signalé et/ou de l’impact commercial et/ou du degré de créativité, qui doit également être déterminé par l’équipe Fullsecure®. Le montant minimum de la récompense pour un rapport de vulnérabilité valide est d’une valeur de 100 € ou d’une contrepartie en nature (produits de Fullsecure®, séjour touristique ou de loisirs) ; la valeur maximum à remettre aux chercheurs est prédéfinie par tout scénario ayant signalé des problèmes de sécurité critique.
Les vulnérabilités trouvées sur le matériel et dans les applications ainsi que les fonctionnalités et les fonctions qui sont mentionnées dans le dossier de scénario en tant que «domaine d’intérêt» sont attribués aux niveaux supérieurs.
La méthode par laquelle la somme de la récompense est payée par Fullsecure® sera déterminée par échange d’emails avec le chercheur. Toutes les taxes applicables à la récompense doivent être payées par le chercheur.
Règle cadre des scénarios
Fullsecure® souhaite préserver les intérêts apportés par les candidats dans la mesure où ils respectent les présentes conditions générales du Bug Bounty. Entendu que les conditions générales peuvent varier en fonction du type de scénario. D’une manière générale, les règles suivantes s’appliquent à tous les scénarios.
- La recherche devra exclusivement être effectuée dans le cadre énuméré dans l’énoncé de la «Cible» du scénario.
- Sauf indication contraire dans l’aperçu du scénario, vous devez préalablement vous inscrire comme participant soit via internet, ou sur site lors d’évènements.
- La soumission de rapport doit être faite exclusivement à Fullsecure® pour prétendre à une récompense.
- Les communications concernant le contenu du rapport entre le participant et Fullsecure® doivent rester confidentielles pendant une durée de cinq ans. Toute divulgation par le participant dans cette période est soumise à une autorisation préalable par Fullsecure®.
- Les actions qui affectent l’intégrité ou la disponibilité des cibles du scénario sont en principe prohibées. Cependant, si le participant découvre une dégradation des performances du système cible via l’utilisation de robot et/ou d’outils automatisés, le participant reportera ces informations dans son rapport dans une rubrique performance & optimisation.
- Les rapports doivent étayer des effets constatés sur la sécurité de la cible. Les effets constatés peuvent se définir comme une anomalie qui affecte de manière significative des systèmes ou sous-systèmes et son utilisateur. Cela comprend la sécurité de données privées et/ou les données de la cible. Les participants peuvent être invités à défendre leur rapport pour être éligible à une récompense.
- La soumission d’un rapport ne prévaut pas l’espérance d’un gain ou d’un engagement contractuel engendrant une quelconque obligation envers Fullsecure®. Un rapport peut faire l’objet d’un rejet lorsqu’un délai défini dans le scénario et/ou que le participant ne répond pas aux au diverses demandes de renseignements dans les 15 jours suivant la réception du rapport.
- L’existence ou les détails des scénarios à caractère privé ou sur invitation ne doivent pas être communiqués à des personnes physique ou morales qui ne font pas partie des ressources humaines ayant autorité chez Fullsecure®
- Il est fortement recommander d’inclure dans le contenu du rapport soumis pars les participant des éléments multimédia, tels que les captures d’écran, mini films vidéo. Entendu, que l’ensemble de ces fichiers sont à caractère confidentiel. Ils ne peuvent donc être divulgués par quelque moyen que cela soit, autre qu’aux personnes physiques habilitées par Fullsecure®. Le transfert de fichiers à Fullsecure® doit être chiffré au minimum avec un AES256.
- Les règles de divulgation de Fullsecure® s’appliquent à toutes les rapports des participants soumis ou portant des éléments à caractère confidentiel concernant Fullsecure®. Les participants s’engagent à respecter la politique de confidentialité des informations de Fullsecure®.
- Les participants peuvent être amenés, en raison de scénarios à caractère critique et particulièrement confidentiel, à faire l’objet de la signature d’un accord de confidentialité (NDA).
- Si un participant souhaite conserver des droits de divulgation sur des vulnérabilités qu’il a soumises et qui ne concernent pas le scénario de manière directe ou indirecte ou analogue ou connexe, il doit manifester son intention de manière motivée à Fullsecure®. Le scénario proposé par Fullsecure inclut tous les composants critiques pour lesquels il souhaite recevoir des rapports de vulnérabilité.
- La violation de la politique de divulgation d’un scénario peut entraîner des poursuites à l’encontre du candidat et invalider de fait la participation au scénario.
Admissibilité à la récompense
Tous les candidats doivent remplir les critères ci-dessous pour être éligibles à une récompense:
- La vulnérabilité signalée devrait être comprise dans le champ d’application du scénario ;
- Le candidat devrait être le premier à signaler cette vulnérabilité spécifique ;
- Le candidat ne devrait pas être interdit par la loi de recevoir une récompense ;
- Le candidat ne doit pas divulguer la vulnérabilité publiquement. Le seul moyen légitime de signaler les bugs à Fullsecure® se fait via le formulaire sur la page Fullsecure® Bug Bounty ;
- Le chercheur ne doit pas être un employé de Fullsecure®. Les anciens employés sont admissibles à participer 12 mois après la fin de leur contrat avec Fullsecure® ;
Si vous ne répondez pas à l’un des critères ci-dessus, la soumission n’est pas automatiquement éligible pour une récompense.
Types de soumission exclues
La portée du scénario Bug Bounty de Fullsecure® est définie comme suit :
Seuls les services de soumission proposés par Fullsecure® pour réaliser des échanges d’informations et de soumission des rapports sont éligibles. Tous les autres services d’échange et/ou de transmission différents de ceux proposés par Fullsecure® sont considérés comme hors du périmètre. De telles soumissions de rapport de vulnérabilités ne seront pas examinées sans aucune possibilité de recours du candidat. Ce qui exclut de fait tout type de récompense sous quelques formes que cela soit.
Il y a aussi des types de présentations qui seront exclues du scénario, en raison de leur impact sur la sécurité. Ceux-ci incluent :
- Les résultats obtenus grâce à des techniques d’ingénierie sociale telles que le phishing;
- Constatations sur les cibles ne faisant pas partie du scénario
- Les constatations de bug fonctionnels UI et UX, ou fautes de frappe et d’orthographe dans les produits
- Des constatations sur les vulnérabilités du réseau par des attaques par déni de service (DoS et DDoS)
Fullsecure® se réserve le droit d’utiliser les informations provenant des rapports de vulnérabilité qui ne sont pas dans le champ d’application du scénario, sans verser de prime au chercheur.
Obligations du demandeur
En acceptant ces conditions, les candidats acceptent de ne pas perturber l’intégrité ou la disponibilité des services de Fullsecure®, et de ne pas causer d’inconvénients ou de dommages aux autres utilisateurs desdits produits et services. Si au cours de leur recherche, les candidats remarquent une dégradation des performances sur les systèmes cibles, ils doivent cesser immédiatement toutes les actions à l’origine de la dégradation, y compris la suspension de toute utilisation d’outils automatisés.
Les candidats acceptent de ne pas partager les résultats de leurs recherches avec des tiers et de ne pas divulguer leurs découvertes de vulnérabilités sans le consentement explicite de Fullsecure®.
Droit sur les vulnérabilités signalées
Entendu que Fullsecure® dispose de brevets d’inventions étendus à l’international, de droits d’auteurs, de dessins et modèles, de diverses enveloppes soleau et de programmes informatiques propriétaires qui encadrent l’ensemble de ses développements de produits et services. Fullsecure® doit revendiquer la propriété de toutes les vulnérabilités qui lui ont été soumises par le candidat. Le simple fait de transmettre un rapport à Fullsecure®, le chercheur accorde à Fullsecure® une licence irrévocable perpétuelle et non exclusive pouvant être utilisée, reproduite, adaptée, modifiée, publiée, distribuée, exécutée publiquement, ainsi que la création d’une œuvre dérivée, fabriquée, utilisée, vendue, mise en vente, importée et exportée. Cela s’applique également aux rapports qui ont été jugés non éligibles à une récompense.
Le candidat reconnaît et accepte que Fullsecure® puisse collecter et utiliser ses informations à des fins statistiques en interne. Sous réserve des droits pouvant être rattachés au candidat sur tout matériel et/ou programme et/ou sur des rapports de vulnérabilité dont Fullsecure® n’est pas à l’origine. Entendu que l’utilisation de ce type de rapport de sources externes doit avoir une relation connexe et/ou analogue à la cible et/ou au scénario de Fullsecure®.
D’une manière générale, Fullsecure® possèdent les droits, titres et intérêts sur tous les services, les rapports qui lui sont soumis ainsi leurs contenus, y compris tous les droits de propriété intellectuelle associés. Le candidat reconnaît que les produits et services et le contenu de Fullsecure® sont protégés par tous les droits relatifs à la propriété intellectuelle telle que les droits d’auteurs, les brevets internationaux, les marques, dessins et modèles.
Le candidat qui met à disposition du matériel et/ou des données numériques et/ou toutes autres informations sous quelque forme et support que cela soit à Fullsecure®, il accorde à Fullsecure® une licence perpétuelle, irrévocable, non-exclusive, non transférable, non-concédée, mondiale et libre de droits pour utiliser, copier, reproduire, afficher, modifier, adapter , transmettre et distribuer des copies du matériel et/ou données numériques.
Sous réserve du respect ses conditions par le candidat, Fullsecure® accorde au candidat intuitu personae une licence non exclusive, non transférable, non soumise à sous licence, mondiale et libre de droits pour accéder au contenu et aux rapports de vulnérabilité que Fullsecure® met à la disposition du candidat pour effectuer ses recherches dans le cadre des scénarios et sa cible. Dans ce cas d’espèce, le candidat n’aura pas de frais de licence, sauf disposition préalablement stipulée au candidat et notifiée sur un bon de commande.
cb