Programme Hexagon de divulgation des vulnérabilités 

Politique  

La sécurité des données clients gérées par les produits Hexagon est un élément essentiel de la vision et de la mission d’Hexagon. Nous saluons la contribution de la communauté de recherche externe en matière de sécurité à la sécurité de nos produits. Si vous pensez avoir trouvé des failles de sécurité dans nos produits, nous serons ravis de résoudre ce problème.

Nous apprécions les contributions de la communauté de recherche en sécurité et sommes conscients de l’importance d’une approche coordonnée de la divulgation des vulnérabilités. Si vous avez découvert une faille de sécurité, nous vous encourageons à nous en informer immédiatement. Nous sommes heureux de travailler avec vous pour résoudre le problème rapidement.

Le respect des normes de l’industrie est important à nos yeux, et notre programme est couvert par les standards Coordinated Vulnerability Disclosure, Safe Harbor, Open Scope, Core Ineligible Findings et Detailed Platform Standards.

Utilisez ce lien pour soumettre votre rapport.

Nous cherchons constamment à nous améliorer. Si vous avez des questions sur notre sécurité ou des suggestions sur la manière d’améliorer le Programme de divulgation des vulnérabilités (VDP) d’Hexagon, veuillez nous écrire ([email protected]).

Produits concernés

Les failles de sécurité identifiées dans les propriétés numériques détenues, exploitées ou contrôlées par Hexagon AB sont prises en compte dans le champ d’application.

Divulgation publique

Nous croyons en la transparence concernant notre sécurité, toute vulnérabilité/défaut valable découvert(e) est toujours signalé(e) dans les documents de publication du produit

Admissibilité et divulgation responsable

Pour promouvoir la découverte et le signalement des vulnérabilités et améliorer la sécurité des utilisateurs, nous vous demandons de :

• Partager le problème de sécurité avec nous en détail ;
• Veuillez respecter nos applications existantes. Le spammage via des scanners de vulnérabilité automatisés n’est pas dans l’esprit de la divulgation responsable ;
• Nous donner un délai raisonnable pour répondre au problème avant de rendre publique toute information à ce sujet ;
• Ne pas accéder à nos données ou aux données de nos utilisateurs et ne pas les modifier, sans l’autorisation expresse du propriétaire. Interagir uniquement avec vos propres comptes ou tester des comptes à des fins de recherche sur la sécurité ;
• Nous contacter immédiatement si vous tombez sur des données d’utilisateur par inadvertance. Ne pas consulter, modifier, enregistrer, stocker, transférer ou accéder de quelque manière que ce soit aux données, et supprimer immédiatement toute information locale lors du signalement de la vulnérabilité à Hexagon ;
• Agir de bonne foi pour éviter les violations de la vie privée, la destruction des données et l’interruption ou la dégradation de nos services (y compris le déni de service).
• Sinon, respecter toutes les lois applicables.

Rapports sur les meilleures pratiques

Pour garantir l’efficacité maximale de votre rapport et aider les équipes de développement à évaluer et reproduire le bug, nous vous recommandons les meilleures pratiques suivantes pour le signalement du bug.

1. Établissez un rapport plus solide en incluant des informations sur l’impact réel et potentiel de la vulnérabilité, ainsi que des détails sur la manière dont elle pourrait être exploitée.
2. Incluez la méthodologie que vous avez utilisée pour trouver le bug, et les étapes pour le reproduire.
3. Veuillez ne soumettre vos résultats qu’après vous être assuré que votre bug a été vérifié.
4. Les soumissions en anglais sont préférables. Veuillez de préférence soumettre le rapport dans votre langue maternelle si vous ne pouvez pas le soumettre en anglais avec suffisamment de détails.

Vulnérabilités hors champ d’application

Les problèmes suivants ne relèvent pas du champ d’application du VDP :

• Politiques relatives au mot de passe, à la messagerie et au compte, telles que la vérification de l’identifiant de la messagerie, l’expiration du lien de réinitialisation et la complexité du mot de passe.
• Recherche nécessitant un accès physique à nos produits.
• En-têtes de sécurité manquants qui n’entraînent pas directement une vulnérabilité.
• Utilisation d’une bibliothèque connue comme étant vulnérable (sans preuve d’exploitabilité).
• Rapports issus d’outils automatisés ou de scans.
• Attaques nécessitant une application attaquante pour être autorisée à se superposer à notre application (par exemple, détournement de clics ou effleurements d’écran).
• Présence d’attribut d’autocomplétion sur les formulaires Web.
• Tout rapport qui explique comment savoir si un nom d’utilisateur ou une adresse e-mail donné(e) possède un compte Hexagon.
• Tout accès aux données où l’utilisateur ciblé doit utiliser un appareil mobile rooté.
• Tout rapport sur le piratage de bibliothèque de liens dynamiques (DLL) sans démontrer comment il obtient de nouveaux privilèges.
• Absence de « rate limiting », sauf en lien avec l’authentification.
• Les appareils (iOS, Android, applications de bureau) ne sont pas dissociés lors du changement de mot de passe.

Conséquences du respect de cette politique

Nous ne poursuivrons pas d’action civile et n’intenterons pas de réclamation auprès des forces de l’ordre pour violation accidentelle et de bonne foi de cette politique. Nous considérons que les activités menées conformément à la présente politique constituent une conduite « autorisée » en vertu de la loi sur la fraude et les abus informatiques. Dans la mesure où vos activités sont incompatibles avec certaines restrictions de notre Politique d’utilisation acceptable, nous renonçons à ces restrictions dans le but limité d’autoriser la recherche en matière de sécurité en vertu de cette politique. Nous n’intenterons aucune action en justice contre vous en vertu du Digital Millennium Copyright Act (DMCA) pour avoir contourné les mesures technologiques que nous avons utilisées pour protéger les applications concernées.

Si votre rapport traite d’une vulnérabilité d’un partenaire commercial d’Hexagon, Hexagon se réserve le droit de partager votre soumission dans son intégralité, y compris votre identité, avec le partenaire commercial pour faciliter les tests et la résolution de la vulnérabilité signalée. Si une action en justice est intentée par un tiers contre vous et que vous vous êtes conformé au VDP d’Hexagon, Hexagon prendra des mesures pour faire savoir que vos actions ont été menées conformément à la présente politique.

Hexagon peut choisir, à sa seule discrétion, de vous fournir un accès gratuit aux produits Hexagon. Cet accès est uniquement destiné à permettre vos tests et peut être révoqué à tout moment avec ou sans préavis.

Hexagon n’applique pas actuellement de programme de récompense Bug Bounty. Toutes les notifications adressées à Hexagon dans le cadre du Programme de divulgation des vulnérabilités sont faites de bonne foi et dans le meilleur intérêt de la communauté au sens large.