Vulnerability Disclosure Policy

Objet et périmètre

Objet de cette politique

AceBIT GmbH accueille favorablement les signalements de failles de sécurité dans Password Depot et dans les services web associés dont AceBIT est responsable. Cette politique décrit comment les chercheurs en sécurité peuvent signaler des vulnérabilités potentielles, quelles règles s'appliquent à la recherche en sécurité et quels engagements AceBIT prend dans le cadre d'une divulgation coordonnée.

Les signalements peuvent être soumis en allemand ou en anglais.

Périmètre

Password Depot Enterprise Server
Password Depot Windows Client
Password Depot macOS Client
Password Depot Linux Client
Browser Extension (Chrome, Edge, Firefox)
Mobile Apps (iOS, Android)
Services web liés au produit sous password-depot.de

Y compris les composants tiers dans la mesure où ils font partie des produits mentionnés ci-dessus.

Hors périmètre

Environnements de production des clients, installations personnalisées et autres systèmes tiers
Services ou infrastructures exploités par des tiers qui ne font pas partie de Password Depot
Ingénierie sociale, hameçonnage (phishing), attaques physiques, spam, force brute, credential stuffing, scans massifs ou tests de déni de service

Safe Harbor

Si vous agissez de bonne foi, respectez cette politique, limitez vos tests au périmètre décrit ci-dessus et ne consultez, ne modifiez, ne supprimez, n'exfiltrez aucune donnée et ne perturbez aucun service, nous renoncerons – dans la mesure où la loi le permet – à toute action civile liée à cette recherche en sécurité.

Dans la mesure de notre contrôle et dans les limites autorisées par la loi, nous ne déposerons pas non plus de plainte pénale en rapport avec une telle recherche en sécurité.

Cette disposition ne s'applique pas aux actions hors périmètre, aux tests contre les systèmes de clients ou d'autres tiers, aux violations de la protection des données, aux perturbations opérationnelles ou à toute autre infraction au droit applicable.

Cette politique ne constitue pas une autorisation de test en dehors du périmètre décrit dans le présent document.

Guidelines

Nos attentes envers les chercheurs en sécurité

1 Agissez avec diligence, de bonne foi, et limitez vos tests au strict nécessaire pour démontrer la vulnérabilité de manière reproductible.

2 N'accédez pas aux données réelles des clients. Si vous obtenez accidentellement l'accès à des données personnelles ou sensibles, arrêtez immédiatement le test et informez-nous sans délai.

3 Ne modifiez, ne supprimez, n'exfiltrez et ne publiez aucune donnée.

4 N'effectuez pas de tests susceptibles de perturber des systèmes ou des services ou de dégrader leur disponibilité.

5 N'utilisez pas d'ingénierie sociale, de hameçonnage (phishing), d'attaques physiques et n'installez aucune porte dérobée ni mécanisme de persistance.

6 Ne divulguez aucun détail publiquement avant que nous n'ayons convenu ensemble d'une date de divulgation coordonnée.

Signalement

Comment signaler une vulnérabilité

Envoyer un signalement

Veuillez envoyer votre signalement à :

security@password-depot.de

Veuillez inclure

Produit concerné, version, build et composant
Description de la vulnérabilité
Étapes de reproduction / preuve de concept (proof of concept)
Évaluation de l'impact et du niveau de gravité
Environnement de test, configuration et prérequis
Coordonnées et, le cas échéant, souhait de mention nominative

Veuillez ne pas envoyer de données personnelles inutiles ni de volumes importants de données provenant d'environnements de production.

Confidentialité

Nous traitons votre signalement et – si vous le souhaitez – votre identité de manière confidentielle, dans la mesure où la loi le permet. Nous ne publions votre nom qu'avec votre consentement préalable.

La transmission de vos informations n'intervient que dans la mesure nécessaire à l'examen, à la correction et à la divulgation coordonnée de la vulnérabilité ou au respect d'obligations légales.

Processus

Ce qui se passe après votre signalement

Accusé de réception 48 heures Nous accusons réception de votre signalement.

Évaluation initiale 7 jours Nous vous informons si nous classons le signalement comme valide, dupliqué, hors périmètre ou actuellement non reproductible.

Mises à jour régulières tous les 30 jours Nous vous tenons informé de l'avancement du traitement jusqu'à la résolution ou jusqu'à la divulgation coordonnée.

Divulgation

Divulgation coordonnée et Security Advisories

Dès qu'une mise à jour de sécurité ou une autre mesure corrective efficace est disponible, nous publions généralement un avis de sécurité (Security Advisory) pour les vulnérabilités confirmées nécessitant une correction.

Si une publication immédiate compromettait la sécurité de nos utilisateurs, nous pouvons reporter la publication à un moment approprié.

Consulter les Security Advisories

Un avis de sécurité contient au minimum

Une description de la vulnérabilité
Les produits et versions concernés
L'impact et le niveau de gravité
Des instructions claires de correction ou d'atténuation

Note sur les obligations légales de notification

Si un signalement indique une vulnérabilité activement exploitée ou un incident de sécurité grave, nous pouvons être légalement tenus de transmettre les informations techniques nécessaires aux autorités compétentes, au CSIRT concerné et à l'ENISA, ainsi que de notifier les utilisateurs affectés.

Votre identité n'est communiquée dans ce cadre que dans la mesure où la loi l'exige.

Reconnaissance

Nous n'offrons actuellement aucune récompense financière ni paiement de type bug bounty, sauf annonce expresse distincte.

Si vous le souhaitez, nous vous mentionnerons nommément après la résolution de la vulnérabilité dans un avis de sécurité ou dans une section de remerciements. Veuillez nous en informer lors de votre signalement.

AceBIT GmbH Schleiermacherstr. 10 · 64283 Darmstadt · Allemagne
E-mail : security@password-depot.de

Signaler une vulnérabilité

Divulgation coordonnée des vulnérabilités