Passer au contenu principal

Signaler une Vulnérabilité de Sécurité

Comment soumettre un rapport de vulnérabilité à Level, y compris les directives de portée et ce qu'il faut inclure.

Mis à jour aujourd’hui

Level effectue des tests de pénétration trimestriels et surveille activement les vulnérabilités, mais l'utilisation réelle met en évidence des choses que les tests automatisés manquent. Si vous trouvez un problème de sécurité, nous voulons en être informés.

Envoyez les rapports à [email protected].

ℹ️ NOTE : Si vous créez un compte de test spécifiquement pour la recherche de vulnérabilités, ajoutez « Tester » à votre adresse e-mail (par exemple, [email protected]) afin que nous puissions filtrer ces comptes de nos métriques.

Signaler une Vulnérabilité de Sécurité

Ce qu'il faut Inclure dans Votre Rapport

Un rapport utile sera traité plus rapidement. Incluez :

  • Une description claire, étape par étape, de la façon de reproduire la vulnérabilité

  • L'actif spécifique affecté (voir Actifs en Périmètre ci-dessous)

  • Un scénario d'attaque démontrant l'impact potentiel

  • Des captures d'écran, une vidéo ou du code de preuve de concept, le cas échéant

Les rapports sans étapes de reproduction et sans scénario d'impact ne peuvent pas être traités.

Actifs en Périmètre

Problèmes en Périmètre

Nous souhaitons des rapports sur :

  • Authentification et gestion des sessions — flux de connexion, gestion des sessions, OAuth, récupération de compte, politiques de mot de passe

  • Contrôle d'accès — contournements de permissions, CSRF, accès non autorisé entre comptes

  • Vulnérabilités d'injection — injection SQL, XSS et autres attaques basées sur les entrées

  • Accès inter-clients aux appareils — tout chemin qui permet à un client d'accéder aux appareils gérés d'un autre client

  • Vulnérabilités au niveau du compte — téléchargement de malware, intégration d'URL de phishing, attaques RTLO/IDN homographe par les utilisateurs non fiables sur le même compte

Les tests doivent être effectués sur vos propres comptes Level. Si vous avez besoin d'un environnement bac à sable, contactez-nous avant de tester.

Problèmes Hors Périmètre

Ceux-ci ne seront pas acceptés. Ne soumettez pas de rapports pour :

Comportement que nous avons évalué et accepté :

  • Limitation de débit

  • Préoccupations concernant les meilleures pratiques sans preuve d'une vulnérabilité exploitable

  • Sessions ne s'invalidant pas lorsque 2FA est activé

  • Vulnérabilités affectant uniquement les utilisateurs sur des navigateurs obsolètes et non corrigés

  • Conditions de concurrence sans impact sur la sécurité

  • CSRF sur des actions sans impact sur la sécurité (connexion, déconnexion, pages non authentifiées)

  • Risques théoriques sans chemin d'attaque démontré

  • Résultat de scanners automatisés sans explication

Bruit d'infrastructure / configuration :

  • Usurpation d'e-mail / politiques SPF / DKIM / DMARC

  • Injection de lien hypertexte dans les e-mails

  • En-têtes de sécurité manquants à moins d'être liés à une vulnérabilité spécifique

  • Problèmes de chiffrement SSL/TLS sans preuve de concept fonctionnelle

  • Récupération de bannière et divulgation de version logicielle

  • Ports ouverts sans vulnérabilité démontrée

  • DNSSEC / DANE

  • En-têtes HSTS ou CSP

  • Divulgation de fichiers publics connus (par exemple, robots.txt)

  • Énumération de nom d'utilisateur ou d'adresse e-mail

  • Attributs d'autocomplétion sur les formulaires Web

Problèmes opérationnels :

  • Déni de service contre les comptes d'autres clients

  • Ingénierie sociale de quelque nature que ce soit contre d'autres clients ou le personnel de Level

  • Tentatives de hameçonnage ciblé ou contact du support dans le cadre des tests

  • Intrusion physique

  • Scans automatisés, bombardement de courrier, spam, brute-force ou attaques automatisées (par exemple, Burp Intruder)

  • Fuite, manipulation ou destruction de données utilisateur

Exclusions spécifiques au DoS :

  • DoS via entrées malformées ou téléchargements de fichiers conçus déclenchant des erreurs 500

  • DoS via entrées de mot de passe illimitées ou très grandes

  • DoS via manque de pagination ou large quantité de contenu généré par les utilisateurs ralentissant les réponses

Facteurs de Disqualification

Les rapports sont disqualifiés s'ils :

  • Manquent d'instructions de reproduction étape par étape

  • Impliquent l'accès aux comptes d'autres clients

  • Impliquent l'ingénierie sociale du personnel Level ou des clients

  • Utilisent des outils d'attaque automatisés contre l'infrastructure Level

  • Résultent en fuite, modification ou destruction de données utilisateur

FAQ

  • Où dois-je envoyer les rapports de vulnérabilité ? Envoyez un e-mail à [email protected] avec les étapes complètes de reproduction et un scénario d'impact.

  • Avez-vous un programme de prime aux bugs ? Non, nous n'avons pas de programme de prime aux bugs. Contactez [email protected] si vous avez des questions.

  • Puis-je tester sur les comptes d'autres clients ? Non. Les tests doivent être effectués sur vos propres comptes Level. L'accès aux comptes d'autres clients est un facteur de disqualification immédiat et peut avoir des conséquences légales. Contactez-nous si vous avez besoin d'un environnement bac à sable.

  • Mon rapport inclut une sortie d'un scanner automatisé. Cela fonctionnera-t-il ? Uniquement s'il est accompagné d'une explication claire de la vulnérabilité, des étapes de reproduction et d'un scénario d'attaque. La sortie brute du scanner seule ne sera pas traitée.

  • Avec quelle rapidité allez-vous répondre ? Les délais de réponse ne sont pas garantis. Contactez directement [email protected] si vous avez une divulgation urgente.

Articles connexes
Bien démarrer avec Level
Sécurisation de Level
Avez-vous trouvé la réponse à votre question ?