Publication responsable

Faire le rapport d'une faille de sécurité

Chez Action, nous donnons la priorité absolue à la sécurité de nos systèmes. Malgré tous les efforts fournis dans le système de sécurité, une faille peut toutefois toujours se présenter.

Exemples de failles de sécurité que vous pourriez rencontrer :

  • Failles de scripts intersites
  • Failles d'injection SQL
  • Faiblesses de cryptage
  • Etc.

Si vous découvrez une faille, nous voudrions le savoir afin de prendre les mesures pour y remédier dès que possible. Nous vous demandons de nous aider à améliorer la protection de nos clients et systèmes.

Veuillez effectuer les tâches suivantes :

  • Envoyez vos constatations par e-mail à [email protected] De préférence, cryptez vos constatations en utilisant notre clé PGP pour éviter que cette information critique ne tombe entre de mauvaises mains.

    Clé PGP : Téléchargez Empreinte

    PGP : 797A CBB9 4E72 DA2B 85EB 422D 45D2 1BB2 DF1C 268D

  • Ne profitez pas de la faille ou du problème que vous avez découvert, par exemple en téléchargeant plus de données que nécessaires pour démontrer la faille, en effaçant ou en modifiant des données ;
  • Ne parlez à personne du problème jusqu'à ce qu'il ait été résolu ;
  • N'utilisez pas d'attaques sur la sécurité physique, d'ingénierie sociale, de déni de service distribué, de spam ou d'applications de tiers ; et
  • Fournissez suffisamment d'informations pour reproduire le problème afin de nous permettre de le résoudre dès que possible. D'habitude, l'adresse IP ou l'URL du système touché et une description de la faille seront suffisantes, mais les failles complexes pourraient exiger une explication complémentaire.

Ce à quoi nous nous engageons :

  • Nous répondrons à votre rapport dans les 15 jours ouvrables en vous fournissant une évaluation du rapport et la date de résolution prévue ;
  • Si vous avez suivi les instructions ci-dessus, nous n'engagerons aucune action en justice contre vous au sujet du rapport ;
  • Nous traiterons votre rapport en toute confidentialité et nous ne communiquerons pas vos données personnelles à des tiers sans votre autorisation ;
  • Nous vous tiendrons au courant de l'avancement de la résolution du problème ; Nous citerons votre nom comme découvreur du problème dans la communi
  • cation externe qui traite du problème rapporté, sauf avis contraire de votre part ; et
  • Nous déciderons si le problème rapporté mérite une récompense. La condition préalable à la récompense est qu'il y ait eu un problème légitime ayant un caractère innovant et substantiel.

Nous visons à résoudre tous les problèmes dès que possible et voulons jouer un rôle actif dans la publication finale du problème après sa résolution (si on a choisi de le faire).

Vie privée

  • Si votre rapport n'est pas anonyme, nous vous demanderons le cas échéant vos coordonnées;
  • Sauf autorisation de votre part, nous ne divulguerons pas votre identité à des tiers et nous n'utiliserons vos données personnelles que pour assurer le suivi de votre rapport.
  • Nous aurons besoin de vos données personnelles pour l'attribution de la récompense si elle s'applique.