La sécurité représente une priorité absolue pour Leaseweb. Cependant, quels que soient les efforts que nous déployons pour assurer la sécurité de nos systèmes, il peut toujours y avoir des failles. Aucune technologie n’est parfaite, et Leaseweb estime qu’il est essentiel de collaborer avec des chercheurs en sécurité chevronnés du monde entier pour identifier les faiblesses éventuelles. Nous vous encourageons donc à nous informer si vous pensez avoir identifié un problème de sécurité dans l’un de nos produits ou services, afin que nous puissions travailler ensemble en vue de le résoudre rapidement.
Directives de divulgation responsable
- Informez-nous dès que possible de la découverte d’un problème de sécurité potentiel. Nous ferons tout notre possible pour le résoudre rapidement.
- Accordez-nous un délai raisonnable pour résoudre le problème avant toute divulgation au public ou à un tiers.
- Utilisez uniquement les canaux de communication officiels. N’utilisez pas une adresse électronique personnelle, un compte sur les réseaux sociaux ou d’autres connexions privées pour contacter un membre de l’équipe de sécurité au sujet des failles ou de tout autre problème lié au programme, à moins que vous n’ayez reçu des instructions en ce sens de la part du programme.
- Ne parlez pas au nom d’une autre personne sans autorisation : aucune tentative non autorisée de manipuler une autre partie en se faisant passer pour un employé de Leaseweb, un autre pirate ou une équipe de sécurité ne sera tolérée.
- Si vous respectez l’ensemble des conditions fixées dans les présentes directives, nous n’entamerons aucune action légale à votre encontre concernant ce signalement.
- Votre signalement sera confidentiel et nous ne partagerons pas vos informations personnelles avec des tiers sans consentement préalable, sauf si cela est nécessaire pour nous conformer à une obligation légale.
- Services gratuits pour les chercheurs en sécurité : nous sommes susceptibles de rembourser le coût des services Leaseweb si des failles sont découvertes dans nos systèmes. La décision de rembourser et le montant remboursé par la suite restent à la discrétion de Leaseweb.
- Différence entre les services Leaseweb et les services client : des failles peuvent être trouvées dans des services client loués auprès de Leaseweb, mais que nous ne gérons pas. Si de telles failles sont découvertes, nous ne serons pas en mesure de résoudre le problème ou d’offrir des récompenses. Dans ce cas, nous vous mettrons en contact avec notre client, si cela est possible.
Récompenses
Pour montrer notre reconnaissance aux chercheurs en sécurité responsables, Leaseweb offre des récompenses pour le signalement de certaines failles de sécurité. Ces récompenses seront remises sous la forme de compensations financières ou de produits Leaseweb. Le montant de la récompense reste à la discrétion de Leaseweb et sera basé sur une évaluation interne de la gravité de la faille signalée. La récompense sera communiquée après validation de la faille de sécurité par nos équipes internes.
Éligibilité
Pour prétendre à une récompense, vous devez :
- Être le premier à signaler la faille
- Respecter les directives indiquées sur cette page
- Ne pas divulguer publiquement la faille avant que nous ne l’ayons traitée
- Fournir une preuve de concept valable exploitant le problème de sécurité. Cette preuve de concept doit comprendre, au minimum :
- Des informations sur la nature de la faille
- Les étapes à suivre pour reproduire la faille
- Le type d’impact qu’aurait une attaque si la faille était exploitée
- Utiliser uniquement des comptes que vous avez créés et ne pas accéder aux données d’autres utilisateurs
- Ne pas résider dans un pays figurant sur la Liste des ressortissants spécialement désignés et des personnes bloquées (SDN)
- Ne pas résider dans un pays figurant sur la liste consolidée des personnes, groupes et entités soumis à sanctions financières par l’Union européenne
Exclusions
Lors de vos recherches, nous vous demandons d’éviter :
- Toute ingénierie sociale (y compris l’hameçonnage) des entreprises collaborant avec Leaseweb ou du personnel de celle-ci
- Toute atteinte physique à la propriété ou aux datacenter de Leaseweb
- Toute attaque physique de l’infrastructure
- Tout déni de service
- Toute attaque de type CSRF sur la connexion/déconnexion
- Toute attaque de type Self-XSS (nous demandons des preuves de la façon dont le XSS peut être utilisé pour attaquer un autre utilisateur Leaseweb)
- Tout manquement au rate limiting (limites de flux)
- Les signalements issus d’outils et analyses automatisés
- Les signalements de bugs dans un logiciel tiers
- Les signalements en lien avec l’en-tête X-Frame-Options
- Les signalements de cookies manquants sur les cookies non sensibles
- Les signalements d’en-têtes de sécurité manquants qui ne mènent pas directement à une faille (sauf si vous fournissez une preuve de concept)
- Les signalements de problèmes DKIM/SPF/DMARC (nous sommes conscients qu’ils sont manquants et nous travaillons à la résolution du problème)
- Toute exposition de la version (sauf si vous livrez la preuve de concept d’un exploit fonctionnel)
- Les signalements de listes de répertoires avec un contenu publiquement lisible
- Toute usurpation de contenu sur les pages d’erreur ou injection de texte
Comment réaliser un signalement
Envoyez vos découvertes à security@leaseweb.com. Vous pouvez utiliser notre clé PGP pour chiffrer votre message si besoin. Vous la trouverez ici.
Merci de contribuer à préserver la sécurité de Leaseweb et de nos utilisateurs !