Programme Hexagon de divulgation des vulnérabilités

Politique  

La sécurité des données clients gérées par les produits Hexagon est un élément essentiel de la vision et de la mission d’Hexagon. Nous saluons la contribution de la communauté de recherche externe en matière de sécurité à la sécurité de nos Produits. Si vous pensez avoir trouvé un bug de sécurité dans nos produits, nous serons ravis de résoudre ce problème.

Nous cherchons constamment à nous améliorer. Si vous avez des questions sur notre sécurité ou des suggestions sur la manière d’améliorer le Programme de divulgation des vulnérabilités (VDP) d’Hexagon, veuillez nous écrire à l’adresse suivante : information.security@hexagon.com.

Produits concernés

Les produits choisis par les équipes produits d’Hexagon seront pris en compte. Ces produits seront répertoriés dans la liste de sélection des produits du formulaire de signalement. Les produits non répertoriés sont exclus du VDP. Les produits non spécifiquement répertoriés peuvent toujours recevoir des rapports de vulnérabilité à l’aide de la catégorie Général de la liste de produits. Les rapports seront évalués, bien qu’ils le seront sur la base d’Efforts raisonnables.

Divulgation publique

Nous croyons en la transparence concernant notre sécurité, toute vulnérabilité/défaut valable découvert(e) est toujours signalé(e) dans les documents de publication du produit

Admissibilité et divulgation responsable

Pour promouvoir la découverte et le signalement des vulnérabilités et améliorer la sécurité des utilisateurs, nous vous demandons de :

  • Partager le problème de sécurité avec nous en détail ;
  • Veuillez respecter nos applications existantes. Le spammage via des scanners de vulnérabilité automatisés n’est pas dans l’esprit de la divulgation responsable ;
  • Nous donner un délai raisonnable pour répondre au problème avant de rendre publique toute information à ce sujet ;
  • Ne pas accéder à nos données ou aux données de nos utilisateurs et ne pas les modifier, sans l’autorisation expresse du propriétaire. Interagir uniquement avec vos propres comptes ou tester des comptes à des fins de recherche sur la sécurité ;
  • Nous contacter immédiatement si vous rencontrez des données d’utilisateur par inadvertance. Ne pas consulter, modifier, enregistrer, stocker, transférer ou accéder de quelque manière que ce soit aux données, et supprimer immédiatement toute information locale lors du signalement de la vulnérabilité à Hexagon ;
  • Agir de bonne foi pour éviter les violations de la vie privée, la destruction des données et l’interruption ou la dégradation de nos services (y compris le déni de service).
  • Sinon, respecter toutes les lois applicables.

Rapports sur les meilleures pratiques

Pour garantir l’efficacité maximale de votre rapport et aider les équipes de développement à évaluer et reproduire le bug, nous vous suggérons les conseils de bonnes pratiques suivants pour le signalement du bug.

  1. Établissez un rapport plus solide en incluant des informations sur l’impact réel et potentiel de la vulnérabilité, ainsi que des détails sur la manière dont elle pourrait être exploitée.
  2. Incluez la méthodologie que vous avez utilisée pour trouver le bug, et les étapes pour le reproduire.
  3. Veuillez ne soumettre vos résultats qu’après vous être assuré que votre bug a été vérifié.
  4. Les soumissions en anglais sont préférables. Veuillez de préférence soumettre le rapport dans votre langue maternelle si vous ne pouvez pas le soumettre en anglais avec suffisamment de détails.

Vulnérabilités hors champ d’application

  • Les problèmes suivants ne relèvent pas du champ d’application du VDP :
  • Politiques relatives au mot de passe, à la messagerie et au compte, telles que la vérification de l’identifiant de la messagerie, l’expiration du lien de réinitialisation, la complexité du mot de passe.
  • Recherche nécessitant un accès physique à nos produits.
  • En-têtes de sécurité manquants qui n’entraînent pas directement une vulnérabilité.
  • Manque de bonnes pratiques (nous exigeons la preuve d’une vulnérabilité de sécurité).
  • Utilisation d’une bibliothèque connue comme vulnérable (sans preuve d’exploitabilité).
  • Rapports issus d’outils automatisés ou de scans.
  • Attaques nécessitant une application attaquante pour être autorisée à se superposer à notre application (par exemple, détournement de clics ou effleurements d’écran).
  • Vulnérabilités affectant les utilisateurs de navigateurs ou de plateformes non pris en charge.
  • Ingénierie sociale des employés ou sous-traitants d’Hexagon.
  • Toute tentative physique contre les biens ou les centres de données Hexagon.
  • Présence d’attribut d’autocomplétion sur les formulaires Web.
  • Indicateurs de cookies manquants sur les cookies non sensibles.
  • Tout rapport qui explique comment savoir si un nom d’utilisateur, une adresse e-mail donné(e) possède un compte Hexagon.
  • Tout accès aux données où l’utilisateur ciblé doit utiliser un appareil mobile rooté.
  • Tout rapport sur le piratage de bibliothèque de liens dynamiques (DLL) sans démontrer comment il obtient de nouveaux privilèges.
  • Absence de « rate limiting », sauf en lien avec l’authentification.
  • Les appareils (iOS, Android, applications de bureau) ne sont pas dissociés lors du changement de mot de passe.

Conséquences du respect de cette politique

Nous ne poursuivrons pas d’action civile et n’intenterons pas de réclamation auprès des forces de l’ordre pour violation accidentelle et de bonne foi de cette politique. Nous considérons que les activités menées conformément à la présente politique constituent une conduite « autorisée » en vertu de la loi sur la fraude et les abus informatiques. Dans la mesure où vos activités sont incompatibles avec certaines restrictions de notre Politique d’utilisation acceptable, nous renonçons à ces restrictions dans le but limité d’autoriser la recherche en matière de sécurité en vertu de cette politique. Nous n’intenterons aucune action en justice contre vous en vertu du Digital Millennium Copyright Act (DMCA) pour avoir contourné les mesures technologiques que nous avons utilisées pour protéger les applications concernées.

Si votre rapport traite d’une vulnérabilité d’un partenaire commercial d’Hexagon, Hexagon se réserve le droit de partager votre soumission dans son intégralité, y compris votre identité, avec le partenaire commercial pour faciliter les tests et la résolution de la vulnérabilité signalée. Si une action en justice est intentée par un tiers contre vous et que vous vous êtes conformé au VDP d’Hexagon, Hexagon prendra des mesures pour faire savoir que vos actions ont été menées conformément à la présente politique.

Hexagon peut choisir, à sa seule discrétion, de vous fournir un accès gratuit aux produits Hexagon. Cet accès est uniquement destiné à permettre vos tests et peut être révoqué à tout moment avec ou sans préavis.

Hexagon n’applique pas actuellement de programme de récompense Bug Bounty. Toutes les notifications faites à Hexagon dans le cadre du Programme de divulgation des vulnérabilités sont faites de bonne foi et dans le meilleur intérêt de la communauté au sens large.