Pour obtenir des conseils sur le signalement des vulnérabilités de sécurité à SoContact, veuillez vous référer à cette politique, qui doit être lue dans le contexte des Conditions d’Utilisation de SoContact.

Si vous avez trouvé une vulnérabilité sur l’un des produits de SoContact (c’est-à-dire un tableau de bord, une API, une extension Chrome, etc.), nous vous encourageons à nous soumettre votre rapport dès que possible et à ne pas rendre la vulnérabilité publique tant qu’elle n’a pas été corrigée et vérifié par SoContact.

SoContact n’intentera pas de poursuites judidiciaires contre vous et/ou ne vous signalera pas aux forces de l’ordre en supposant que la vulnérabilité a été signalée de manière responsable et qu’elle répond aux critères présents dans cet accord.

Prime de Bogue

À Propos

SoContact considère la sécurité comme un aspect crucial de ses opérations, elle est de la plus haute importance pour ses clients et ses produits. Pour assurer une sécurité maximale, SoContact a mis en place une série de mesures de sécurité et est déterminé à protéger les données des applications, à éliminer toute vulnérabilité potentielle et à assurer des opérations commerciales ininterrompues.

Pour toute question concernant notre sécurité, veuillez contacter info@socontact.com.

Divulgation des vulnérabilités

Pour signaler tout problème de sécurité ou de vulnérabilité lié aux produits de SoContact, veuillez contacter info@socontact.com. Il est recommandé d’inclure une preuve de concept, une liste des outils utilisés (y compris leurs versions) et le résultat de ces outils. Chez SoContact, toutes les divulgations concernant la sécurité sont traitées avec le plus grand sérieux. Toutes les primes de vulnérabilité (également appelées primes de bogue) sont évaluées au cas par cas..

• Informez SoContact de la vulnérabilité et fournissez tous les détails à votre disposition.
• Veuillez fournir suffisamment de détails pour pouvoir identifier et reproduire pleinement le problème, qui peut inclure le produit, la version, l’URL, les demandes/réponses, les captures d’écran, etc.
• Accordez à SoContact un délai raisonnable pour résoudre ou répondre au problème avant de le divulguer publiquement.
• Dans vos recherches, veuillez éviter toute interruption de service, l’accès aux données privées des utilisateurs ou la destruction des données des utilisateurs.
• Ne soumettez pas de rapports à partir d’outils d’analyse d’exploits automatisés sans avoir d’abord confirmé que le problème est bien présent.
• Ne contactez pas les employés ou les utilisateurs de SoContact à des fins de phishing ou d’ingénierie sociale.

Règles que vous suivrez

• N’essayez jamais d’accéder au compte ou aux données d’un autre utilisateur.
• N’effectuez et/ou n’essayez pas d’effectuer une action/attaque qui pourrait nuire à l’intégrité et à la fiabilité de nos données et/ou services.
• Les attaques Spam/DDos ne sont pas autorisées. N’effectuez pas d’actions qui pourraient avoir un impact sur nos autres utilisateurs pendant les tests.
• Un bogue ne doit jamais être divulgué publiquement avant d’être reconnu comme corrigé.
• Les tests de vulnérabilité ne doivent être testés que sur des sites Web dont vous savez avec certitude qu’ils sont exploités par SoContact.
• L’utilisation de Scrapers, de scanners et/ou de toute autre forme d’outils automatisés lors des tests est interdit.
• Vous ne devez en aucun cas vous livrer à des attaques non techniques, telles que le phishing ou/et les attaques physiques contre nos infrastructures, nos utilisateurs et/ou nos employés.
• En cas de doute, contactez-nous toujours à info@socontact.com.

Règles que nous suivrons

• Vos soumissions recevront une réponse rapide.
• Vous serez toujours informé de nos progrès dans la correction d’un bogue que vous avez soumis.
• Aucune action en justice ne sera intentée contre vous si vous suivez nos règles.

Actions non éligibles

• Les bogues liés aux extensions de navigateur et ceux qui n’affectent pas la dernière version des navigateurs modernes (tels que Chrome, Firefox, Edge, Safari) sont hors de portée.
• Les bogues qui nécessitent une interaction utilisateur hautement improbable sont hors de portée.
• Les soumissions de bogues qui n’incluent pas d’étapes écrites pour reproduire le problème et/ou ne fournissent que des démonstrations vidéo ne sont pas acceptables.
• Paramètres de cookies non sécurisés pour les cookies non sensibles.
• Divulgation d’informations déjà publiques ou d’informations qui ne présentent pas de risque significatif.
• Bogues trouvés dans le contenu ou les services qui ne sont pas détenus ou exploités par SoContact.
• Créer des scripts ou utiliser d’autres formes d’automatisation ou de tactiques de force brute pour exploiter les fonctionnalités prévues.
• Tabnabbing and Clickjacking.
• Rate Limite.
• Cipher Suite (TLS protocol).
• En cas de doute, contactez-nous toujours à info@socontact.com.

Catégories dans lesquelles rechercher des vulnérabilités

Nous sommes principalement intéressés par les catégories de vulnérabilité suivantes :

• Injection SQL
• Cross Site Scripting (XSS)
• Cross Site Request Forgery (CSRF)
• Contournement Authentication
• Références d’objet directes non sécurisées
• Exécution de code à distance
• Exposition de données sensibles

Catégories de vulnérabilité hors champ

Les catégories suivantes sont considérées comme hors de portée et ne doivent pas être explorées lors de votre recherche de vulnérabilité :

• Déni de service (DoS)
• Vulnérabilités SSL (c’est-à-dire mauvaise configuration ou version)
• Attaques par force brute
• Énumération des utilisateurs
• Flags mal configurés sur les cookies non sensibles
• Logout CSRF
• Problèmes présents uniquement dans les navigateurs ou plugins obsolètes
• Clickjacking sur des pages sans authentification et/ou changements d’état sensibles
• Les vulnérabilités qui obligent les utilisateurs à effectuer des actions hautement improbables (par exemple, désactiver les fonctionnalités de sécurité du navigateur, envoyer des informations critiques à un attaquant, etc.)

Récompenses de Prime de Bogue

• Vulnérabilité de gravité critique : 1 200 $
• Vulnérabilité de gravité élevée : 600 $
• Vulnérabilité de gravité moyenne : 300 $
• Vulnérabilité de faible gravité : 150 $

SoContact Ltd se reserve