Politique de divulgation des vulnérabilités

Ecosia accueille favorablement les commentaires des chercheur•euse•s en sécurité et du grand public afin d'améliorer notre sécurité. Si vous pensez avoir découvert une vulnérabilité, un problème de confidentialité, des données exposées ou d'autres problèmes de sécurité sur Ecosia, nous vous invitons à nous en faire part. Cette politique décrit les étapes à suivre pour nous signaler des vulnérabilités, nos attentes et ce que vous pouvez attendre en revanche de nous.

Remarque : Ecosia ne dispose pas d'un programme de prime aux bogues et n'offre aucune récompense financière. Cependant, vos contributions soutiennent notre mission environnementale en garantissant la sécurité d'Ecosia pour les millions d'utilisateur•rice•s qui choisissent d'effectuer leurs recherches et d'aider à planter des arbres.

Systèmes concernés

Cette politique s'applique à tous les biens numériques détenus, exploités ou gérés par Ecosia GmbH.

Nom du bien numérique

Type

Restrictions de test


 Remarques relatives au signalement

com.ecosia.ecosiaapp

https://play.google.com

/store/apps/details?

id=com.ecosia.android&pcampaignid=

web_share

Application Android


 Aucune analyse automatisée

com.ecosia.ios

https://apps.apple.com/

app/ecosia/id670881887

Application iOS


 Aucune analyse automatisée
https://www.ecosia.org/ Application web
  • Aucune destruction des données
  • Analyse automatisée
  • Attaques par force brute

Signaler immédiatement tout accès non autorisé
https://blog.ecosia.org/ Application web Aucune analyse automatisée Limité au contenu accessible au public
*.ecosia.org Caractère générique Aucune analyse automatisée Respecter les normes de divulgation responsable
Ecosia API Endpoints API
  • Aucune requête excessive
  • Analyse automatisée
  • Attaques par force brute
 Fournir des exemples d'appels API dans les rapports

Cibles hors du champ d’application

  • Les actifs et domaines suivants sont considérés comme hors champ du présent programme :
    • Les actifs ou autres équipements n'appartenant pas aux parties participant à la présente politique. Les vulnérabilités découvertes ou suspectées dans des systèmes hors champ doivent être signalées au fournisseur approprié ou à l'autorité compétente.
    • Les environnements de développement et de test internes (par exemple, staging.ecosia.org, dev.ecosia.org).
    • Les applications, intégrations ou services tiers qui ne sont pas détenus ou contrôlés par Ecosia.
    • Les attaques par déni de service (DoS), l'analyse automatisée ou les techniques d'épuisement des ressources.
    • Les attaques d'ingénierie sociale, y compris les campagnes de phishing visant les employé•e•s d'Ecosia.
    • Les problèmes de sécurité physique tels que les attaques contre les bureaux d'Ecosia ou les postes de travail des employés.

Sécurité juridique

Lorsque nous menons des recherches sur les vulnérabilités, conformément à la présente politique, nous considérons que ces recherches sont menées dans le cadre de la présente politique :

  • Autorisées en vertu de toute loi anti-piratage applicable, et nous n'engagerons ni ne soutiendrons aucune action en justice à votre encontre pour des violations accidentelles et de bonne foi de la présente politique.
  • Autorisées en vertu de toute loi anti-contournement applicable, et nous ne poursuivrons pas en justice pour contournement des contrôles technologiques.
  • Exemptés des restrictions de nos Conditions d'utilisation (CGU) et/ou de notre Politique d'utilisation acceptable (PUA) qui pourraient entraver la conduite de recherches en matière de sécurité, et nous renonçons à ces restrictions sur une base limitée.
  • Légales, utiles à la sécurité globale de l'Internet et menées de bonne foi.

Si une action en justice est engagée à votre encontre par un tiers et que vous vous êtes conformé•e à la présente politique, nous prendrons les mesures nécessaires pour faire savoir que vos actions ont été menées conformément à la présente politique.

Remarque : la sphère de sécurité s'applique uniquement aux réclamations légales relevant du contrôle de l'organisation participant à la présente politique et ne lie pas les tiers indépendants.

Délais et accords de niveau de service

Nous avons mis en place des processus internes pour garantir la validation, le triage et la résolution efficaces des vulnérabilités. Ecosia s'efforcera de respecter les délais suivants :

  1. Accusé de réception : les rapports sont pris en compte dans les 72 heures.
  2. Triage : les rapports sont évalués pour vérifier leur validité et triés dans les 7 jours.
  3. Correction : les vulnérabilités valides sont traitées conformément aux délais de correction définis ci-dessous.
  4. Communication : nous ferons de notre mieux pour vous tenir informé de l'avancement du processus.

Délais de correction

Toutes les vulnérabilités seront corrigées selon une approche basée sur les risques, qui comprend une évaluation interne des risques et de l'impact. Ecosia s'efforcera de respecter les délais suivants :

  • Vulnérabilités critiques : corrigées dans un délai de 7 à 14 jours ouvrables.
  • Vulnérabilités élevées : corrigées dans un délai de 15 à 30 jours ouvrables.
  • Vulnérabilités faibles et moyennes : corrigées dans un délai de 90 jours et traitées lors du prochain cycle de maintenance prévu.

Attentes envers les chercheur•euse•s

Lorsqu'ils•elles participent à notre programme de divulgation des vulnérabilités, les chercheur•euse•s doivent :

  • Respecter la présente politique et tous les accords applicables (la présente politique prévaut en cas de conflit).
  • Signaler rapidement les vulnérabilités découvertes.
  • Éviter toute action susceptible de compromettre la confidentialité, de perturber les systèmes, de détruire des données ou de dégrader l'expérience utilisateur•rice.
  • Communiquer les détails des vulnérabilités uniquement par les canaux officiels.
  • Tester uniquement les systèmes concernés et éviter les zones non concernées.
  • Si une vulnérabilité expose des données, n'accédez qu'au minimum nécessaire, arrêtez immédiatement les tests dès que vous rencontrez des informations sensibles (par exemple, des informations personnelles identifiables, des informations médicales protégées, des données de carte de crédit) et signalez-les.
  • N'utilisez que des comptes de test qui vous appartiennent ou auxquels vous avez accès.
  • Ne vous livrez jamais à des actes d'extorsion.

Qualité des rapports

Nous apprécions toutes les soumissions, mais nous pouvons ne pas donner suite aux rapports qui :

  • Ne fournissent pas suffisamment de détails pour reproduire le problème
  • Sont basés sur des spéculations ou des affirmations invérifiables
  • Contiennent uniquement les résultats d'un scanner en masse sans analyse
  • Décrivent des problèmes connus, acceptés ou déjà résolus
  • Ne relèvent pas du champ d'application du programme

Nous accordons la priorité aux rapports clairs et exploitables qui améliorent notre sécurité.

Politique de divulgation

Nous vous demandons de nous accorder un délai raisonnable pour résoudre le problème avant toute divulgation publique. Cela signifie :

  • Respecter les directives de divulgation de HackerOne.
  • Veuillez ne pas discuter des vulnérabilités (même celles qui ont été résolues) en dehors du programme sans l'accord explicite d'Ecosia.

Soumettre une vulnérabilité

Veuillez utiliser le formulaire ci-dessous. Pour recevoir des mises à jour sur la vulnérabilité signalée, veillez à ajouter votre adresse e-mail.

Nous contacter 

Si vous avez besoin de nous contacter pour tout autre sujet lié à la sécurité, veuillez utiliser notre adresse e-mail dédiée :

E-mail : security@ecosia.org.

Nous n'acceptons pas les soumissions de vulnérabilités par e-mail, veuillez utiliser le formulaire de soumission ci-dessus.

Cette réponse vous a-t-elle aidé ? Merci pour votre retour Un problème est survenu lors de l'envoi de votre commentaire. Veuillez réessayer plus tard.