Sécurité

Programme Bug Bounty

BelHost accueille favorablement la divulgation responsable des chercheurs en sécurité. Nous examinons tous les rapports éligibles et pouvons offrir des récompenses pour les vulnérabilités valides.

Signaler une Vulnérabilité Lire les Directives
Sur cette page
Canal de signalement
[email protected]

Aperçu

Nous considérons la sécurité de nos systèmes comme une priorité absolue. Aucun système n'est parfait, et il peut toujours y avoir des failles dans n'importe quelle technologie. Nous nous réjouissons de travailler avec des chercheurs en sécurité qualifiés pour protéger nos clients.

Si vous pensez avoir identifié un problème de sécurité dans notre produit ou service, nous vous encourageons à nous en informer.

Directives pour la divulgation responsable

  • Informez-nous dès que possible après la découverte d'un potentiel problème de sécurité, et nous ferons tout notre possible pour le résoudre rapidement.
  • Accordez-nous un délai raisonnable pour résoudre le problème avant toute divulgation au public ou à un tiers.
  • Pas d'usurpation d'identité non autorisée : toute tentative d'ingénierie sociale d'une autre partie en se faisant passer pour un employé de BelHost, un autre chercheur ou une équipe de sécurité ne sera pas tolérée.
  • Si vous respectez toutes les conditions énoncées dans ces directives, nous ne prendrons aucune action légale contre vous concernant votre rapport.
  • Votre rapport sera tenu confidentiel. Nous ne partagerons pas vos informations personnelles avec des tiers sans consentement préalable, sauf si cela est nécessaire pour respecter une obligation légale.

Récompenses

Pour témoigner notre gratitude, BelHost offre des primes pour les rapports de vulnérabilités de sécurité qualifiées. Les primes peuvent être attribuées sous forme de compensation financière ou de marchandises BelHost. Le montant de la récompense est à la discrétion de BelHost et est basé sur l'évaluation interne de la gravité de la vulnérabilité divulguée. La prime sera communiquée après validation par nos équipes internes.

Éligibilité

Pour être éligible à une récompense, vous devez :

  1. Être le premier à signaler la vulnérabilité.
  2. Respecter les directives décrites sur cette page.
  3. Ne pas divulguer publiquement la vulnérabilité avant notre résolution.
  4. Fournir une preuve de concept fonctionnelle qui exploite le problème de sécurité.
  5. N'utiliser que des comptes que vous avez créés vous-même et ne pas accéder aux données d'autres utilisateurs.
  6. Ne pas être résident d'un pays figurant sur la liste des Ressortissants Spécialement Désignés et des Personnes Bloquées (SDN).
  7. Ne pas être résident d'un pays figurant sur la Liste Consolidée des personnes, groupes et entités soumis aux sanctions financières de l'UE.

Exclusions absolues

Les catégories suivantes sont hors du champ d'application et ne recevront généralement pas de réponse.

Attaques sociales et physiques
  • Ingénierie sociale (y compris le phishing)
  • Toute tentative physique contre les propriétés ou centres de données de BelHost
  • Attaque physique contre l'infrastructure
Tests de disponibilité et d'abus
  • Déni de service
  • Force brute
  • Rapports d'outils et scans automatisés
  • Limites de débit manquantes
Problèmes web à faible signal
  • CSRF
  • Self-XSS
  • Clickjacking et problèmes uniquement exploitables via le clickjacking
  • Falsification de contenu sur les pages d'erreur ou injection de texte
  • Attaques par homographe
  • Redirections ouvertes
  • CAPTCHA faible / contournement de CAPTCHA
  • Problèmes liés au cache
Résultats de configuration et d'en-têtes uniquement
  • Relatif à X-Frame-Options
  • Indicateurs de cookie manquants
  • En-têtes de sécurité manquants ne menant pas directement à une vulnérabilité
  • Absence de noreferrer, noopener
  • Problèmes DKIM/SPF/DMARC
  • Exposition de version
  • Listage de répertoires
  • Problèmes SSL
  • Méthode HTTP OPTIONS activée
  • Divulgation de l'IP du serveur
Cas limites de compte et d'authentification
  • Délais d'expiration de session d'authentification (les sessions sont liées à l'IP avec un délai d'expiration d'1 heure)
  • Réutilisation du code TOTP 2FA
  • Énumération d'utilisateurs par force brute
  • Activation 2FA sans confirmation par email
  • Vérification de mot de passe lors du changement d'email ou de 2FA
  • Politique de mot de passe
  • Toute attaque nécessitant l'accès à l'ordinateur de l'utilisateur (physique ou distant)
Logiciels tiers et non liés
  • Bugs dans des logiciels tiers
  • Vulnérabilités WordPress
  • Tout type de vulnérabilités de navigateur
  • Manipulation de paramètres pour les processeurs de paiement
En raison du grand nombre de rapports invalides, il n'y aura pas de réponses pour les rapports contenant une vulnérabilité listée dans nos exclusions.

Comment signaler

Veuillez envoyer vos premières découvertes à :

[email protected]