Aller au contenu principal

Politique mondiale de divulgation responsable des vulnérabilités de sécurité

DERNIÈRE MISE À JOUR : OCTOBRE 2022

 

1. Déclaration de politique

1.1 Le Groupe DAZN (« DAZN ») s’engage à protéger la confidentialité et l’intégrité de sa plateforme numérique. Nous sommes conscients que la communauté de recherche en sécurité joue un rôle essentiel dans l’amélioration de nos produits et services et dans la sécurité de nos clients et de nos employés. Nous souhaitons que les chercheurs en sécurité signalent les bugs et les vulnérabilités qu’ils découvrent afin que nous puissions les corriger. Ainsi, nous pouvons protéger nos clients, notre entreprise et notre marque. Nous avons établi la présente politique pour indiquer nos valeurs et assumer notre responsabilité envers les chercheurs en sécurité qui nous font part de leur expertise en toute bonne foi. Bien que nous remerciions les personnes qui consacrent du temps et des efforts pour signaler les bugs et les vulnérabilités de sécurité conformément à la présente politique, nous n’offrons pas de compensations monétaires. Cependant, nous nous efforcerons de leur montrer notre reconnaissance chaque fois que nous le pouvons.

1.2 La présente Politique de divulgation responsable des vulnérabilités explique notre collaboration avec la communauté de recherche en sécurité afin d’améliorer notre sécurité. Elle concerne tous les bugs et toutes les vulnérabilités que vous envisagez de signaler. Nous vous recommandons de lire la présente politique dans son intégralité avant de signaler un bug et/ou une vulnérabilité afin d’agir à tout moment en conformité avec celle-ci.

 

1.3 Si vous respectez la présente politique lors de votre recherche de sécurité, nous considérerons que votre recherche est autorisée et nous travaillerons avec vous pour comprendre et résoudre le problème rapidement.

 

1.4 Nous approuvons et soutenons activement la collaboration avec la communauté de recherche et sécurité pour améliorer notre sécurité en ligne.

 

1.5 Nous nous engageons à :

  • enquêter et résoudre les problèmes de sécurité dans nos produits et services ;
  • travailler en collaboration avec la communauté de la sécurité ;
  • répondre rapidement et activement.

1.6 Nous pouvons être amenés à modifier la présente politique à tout moment.

 

2. Portée

2.1 La présente politique s’applique uniquement aux vulnérabilités de nos produits et services dans les conditions suivantes :

  • Les vulnérabilités dites « admissibles » doivent être réelles et ne doivent pas avoir été déjà signalées ni découvertes par des procédures internes.
  • Les vulnérabilités volumétriques ne sont pas concernées. Par conséquent, le simple fait de submerger un service avec un volume élevé de demandes ne fait pas partie de la portée.
  • Les signalements faisant état de vulnérabilités non exploitables ou ceux indiquant que nos services ne sont pas entièrement conformes aux « bonnes pratiques » (par exemple, des en-têtes de sécurité manquants) ne sont pas concernés.
  • Les faiblesses de configurations TLS, par exemple, la « faible » prise en charge des suites de chiffrement ou la présence de la prise en charge de TLS 1.0, ne font pas partie de la portée.

2.2 Vulnérabilités admissibles

Voici des exemples de vulnérabilités pouvant faire partie de la portée de la présente politique.

  • Exposition de données sensibles (exemples : les informations personnelles identifiables ou PII)
  • Exécution de code à distance
  • Injection SQL
  • Contournement d’authentification entraînant l’accès à un compte utilisateur ou à un contenu en streaming
  • Jetons d’accès exposés
  • Scripts intersites
  • Compartiments S3 exposés
  • Falsification de requêtes intersites entraînant l’accès au compte d’un autre utilisateur

2.3 Vulnérabilités non admissibles

Voici des exemples de vulnérabilités qui ne relèvent pas de la portée de la présente politique :

  • Attaques par déni de service et limitation de débit
  • Phishing ou ingénierie sociale
  • En-têtes manquants (HSTS, CSP, etc.)
  • Faibles algorithmes ou protocoles SSL/TLS/SSH
  • Détournement de clics
  • Divulgation de bannières et d’informations sur la version
  • Divulgation du chemin complet
  • En-têtes de mitigation contre cross-site scripting (XSS)
  • Rapports d’erreur (mobile)
  • Paramètres de cookies non sécurisés
  • Réutilisation des mots de passe provenant de bases de données divulguées publiquement

3. Signalement

3.1 Si vous pensez avoir découvert une vulnérabilité de sécurité, veuillez nous soumettre votre signalement à l’adresse e-mail suivante : security@DAZN.com.

3.2 Donnez autant de détails que possible sur la vulnérabilité de sécurité dans votre signalement. Les détails comprennent (mais sans s’y limiter) :

  • Le site Web, l’adresse IP ou la page URL où la vulnérabilité/le bug est localisé et/ou peut être observé ;
  • Une brève description du type de vulnérabilité, par exemple : « vulnérabilité XSS » ;
  • Un aperçu du risque potentiel et de l’impact de la vulnérabilité ;
  • Des captures d’écran pour illustrer la preuve de l’emplacement où la vulnérabilité/le bug peut être observé ;
  • Les étapes requises pour reproduire le problème. Il doit s’agir d’une preuve de concept inoffensive et non destructive.

Ainsi, le signalement peut être trié rapidement et avec précision. Cette démarche réduit également le risque de duplication de signalements ou d’exploitation malveillante de certaines vulnérabilités, telles que les rachats de sous-domaines.

 

4. Attentes

4.1 Après avoir envoyé votre signalement, l’équipe triera la vulnérabilité signalée et vous fera savoir, dès que possible, si des informations supplémentaires sont nécessaires, si la vulnérabilité est admissible ou non, ou s’il s’agit d’une duplication. Si des corrections sont nécessaires, celles-ci seront confiées à l’équipe appropriée.

4.2 La priorité de la remédiation est déterminée en évaluant l’impact, la gravité et la complexité de l’exploitation. Une équipe peut mettre un certain temps à traiter votre signalement. Vous êtes invité à vous renseigner sur l’état, mais vous devez éviter de le faire plus d’une fois tous les 14 jours. Le but est de permettre à nos équipes de se concentrer au maximum sur les signalements et les mesures correctives.

4.3 Lorsque la vulnérabilité signalée sera corrigée, vous en serez informé. Vous pourrez être invité à vérifier que la solution traite la vulnérabilité de manière adéquate.

4.4 Une fois la vulnérabilité résolue, nous acceptons les demandes de divulgation et reconnaissons votre signalement. Nous souhaitons harmoniser nos directives. Veuillez poursuivre votre collaboration pour toute proposition de publication.

5. Directives

5.1 Vous ne devez PAS :

  • enfreindre les lois ou réglementations applicables ;
  • accéder aux informations personnelles des clients ou des employés ou aux informations confidentielles de DAZN. Si vous accédez accidentellement à l’un de ces éléments, veuillez arrêter les tests et soumettre la vulnérabilité ;
  • accéder à des quantités de données inutiles, excessives ou importantes ;
  • modifier ou détruire des données dans les systèmes ou services de DAZN ;
  • utiliser des outils d’analyse invasifs ou destructeurs de haute intensité pour détecter les vulnérabilités ;
  • tenter de signaler ou signaler toute forme de déni de service, par exemple submerger un service avec un volume élevé de demandes ;
  • perturber ou dégrader nos services, systèmes ou l’expérience utilisateur DAZN ;
  • communiquer les vulnérabilités ou tous détails associés par d’autres moyens que ceux décrits dans la présente politique ;
  • réaliser des opérations d’ingénierie sociale, de « phishing » ou attaquer physiquement notre personnel ou notre infrastructure ;
  • exiger une compensation financière afin de révéler une vulnérabilité ;
  • inclure des données internes de DAZN avec votre signalement.

5.2 Vous devez :

  • arrêter les tests et signaler le problème immédiatement si vous accédez à une application non publique, à des informations d’identification non publiques ou à des services et systèmes non publics ;
  • toujours respecter la législation applicable en matière de protection des données et ne devez pas violer la vie privée de nos utilisateurs, de notre personnel, de nos sous-traitants, de nos services ou de nos systèmes. Par exemple, vous ne devez pas partager les données récupérées à partir des systèmes ou services de DAZN, les redistribuer ou omettre de les sécuriser correctement ;
  • supprimer en toute sécurité les données récupérées au cours de votre recherche dès qu’elles ne sont plus nécessaires ou dans un délai d’un (1) mois après la résolution de la vulnérabilité, selon la première éventualité (ou tel que requis par la loi applicable sur la protection des données).

6. Aspects juridiques

6.1 En soumettant un signalement à DAZN, vous acceptez de garder l’objet du signalement, ainsi que toutes les conversations ultérieures connexes avec DAZN, strictement confidentielles. DAZN peut alors enquêter et prendre les mesures nécessaires.

6.2 La présente politique est conçue pour être compatible avec les bonnes pratiques courantes en matière de divulgation des vulnérabilités. Elle ne vous autorise pas à agir d’une manière incompatible avec la loi applicable ou qui pourrait amener DAZN à violer toute obligation légale applicable, y compris, mais sans s’y limiter :

  • le Règlement général sur la protection des données 2016/679 (RGPD), y compris le règlement tel que transposé dans le droit britannique par l’European Union (Withdrawal) Act 2018 (RGPD du Royaume-Uni) et le Data Protection Act 2018.

6.3 Veuillez noter que la présente politique ne prévoit aucune forme d’indemnité pour toute action en violation de la loi applicable ou de la présente politique. Elle ne fournit aucune indemnité de la part de DAZN ou de tout tiers.

6.4 Dans la mesure compatible avec les obligations légales de DAZN, nous n’engagerons pas de poursuites civiles ni ne poursuivrons en justice les chercheurs en sécurité qui signalent des bugs et des vulnérabilités de sécurité sur notre produit, service ou système, lorsque le chercheur a agi de bonne foi et en conformité avec la présente politique.

 

7. Retour d’informations

7.1 Si vous avez des questions sur la divulgation responsable ou si vous souhaitez faire part de vos commentaires sur la présente politique, veuillez nous contacter à l’adresse e-mail dans la section 3.1 ci-dessus. La politique évoluera au fil du temps, en tenant compte des bonnes pratiques et des leçons apprises. Par conséquent, votre contribution est encouragée et sera appréciée afin de garantir que la présente politique reste claire, complète et pertinente pour toute personne qui l’utilise.

Cet article vous a-t-il été utile ?

Utilisateurs qui ont trouvé cela utile : 3 sur 4
Retour en haut

Articles associés