Passer au contenu principal

Signaler une vulnérabilité de sécurité

How to submit a vulnerability report to Level, including scope guidelines and what to include.

Introduction

Level effectue des tests de pénétration trimestriels et surveille activement les vulnérabilités, mais l'utilisation en conditions réelles révèle des problèmes que les tests automatisés ne détectent pas. Si vous trouvez un problème de sécurité, nous souhaitons en être informés.

Envoyez vos rapports à [email protected].

ℹ️ REMARQUE : Si vous créez un compte de test spécifiquement pour la recherche de vulnérabilités, ajoutez «Tester» à votre adresse e-mail (ex. : [email protected]) afin que nous puissions exclure ces comptes de nos métriques.

Signaler une vulnérabilité de sécurité

Ce qu'il faut inclure dans votre rapport

Un rapport utile est traité plus rapidement. Incluez :

  • Une description claire, étape par étape, expliquant comment reproduire la vulnérabilité

  • L'actif spécifique concerné (voir Actifs dans le périmètre ci-dessous)

  • Un scénario d'attaque démontrant l'impact potentiel

  • Des captures d'écran, une vidéo ou un code de preuve de concept, le cas échéant

Les rapports sans étapes de reproduction ni scénario d'impact ne peuvent pas être traités.

Actifs dans le périmètre

Problèmes dans le périmètre

Nous souhaitons des rapports sur :

  • Authentification et gestion des sessions — flux de connexion, gestion des sessions, OAuth, récupération de compte, politiques de mots de passe

  • Contrôle d'accès — contournements de permissions, CSRF, accès non autorisé entre comptes

  • Vulnérabilités d'injection — injection SQL, XSS et autres attaques basées sur les entrées

  • Accès inter-clients aux appareils — tout chemin permettant à un client d'accéder aux appareils gérés d'un autre client

  • Vulnérabilités au niveau du compte — téléchargement de logiciels malveillants, intégration d'URL de phishing, attaques RTLO/IDN homographes provenant d'utilisateurs non fiables sur le même compte

Les tests doivent être effectués sur vos propres comptes Level. Si vous avez besoin d'un environnement bac à sable, contactez-nous avant de tester.

Problèmes hors périmètre

Ces éléments ne seront pas acceptés. Ne soumettez pas de rapports pour :

Comportements que nous avons évalués et acceptés :

  • Limitation du débit

  • Préoccupations relatives aux bonnes pratiques sans preuve d'une vulnérabilité exploitable

  • Sessions non invalidées lors de l'activation de la 2FA

  • Vulnérabilités affectant uniquement les utilisateurs sur des navigateurs obsolètes et non corrigés

  • Conditions de concurrence sans impact sur la sécurité

  • CSRF sur des actions sans impact sur la sécurité (connexion, déconnexion, pages non authentifiées)

  • Risques théoriques sans chemin d'attaque démontré

  • Résultats de scanners automatisés sans explication

Bruit d'infrastructure / de configuration :

  • Politiques d'usurpation d'e-mail / SPF / DKIM / DMARC

  • Injection de liens hypertextes dans les e-mails

  • En-têtes de sécurité manquants sauf s'ils sont liés à une vulnérabilité spécifique

  • Problèmes de chiffrement SSL/TLS sans preuve de concept fonctionnelle

  • Récupération de bannières et divulgation de versions de logiciels

  • Ports ouverts sans vulnérabilité démontrée

  • DNSSEC / DANE

  • En-têtes HSTS ou CSP

  • Divulgation de fichiers publics connus (ex. : robots.txt)

  • Énumération de noms d'utilisateur ou d'adresses e-mail

  • Attributs de saisie automatique sur les formulaires web

Problèmes opérationnels :

  • Déni de service contre les comptes d'autres clients

  • Ingénierie sociale de toute nature contre d'autres clients ou le personnel de Level

  • Tentatives de harponnage (spearphishing) ou contact du support dans le cadre des tests

  • Intrusion physique

  • Analyse automatisée, bombardement d'e-mails, spam, force brute ou attaques automatisées (ex. : Burp Intruder)

  • Fuite, manipulation ou destruction de données utilisateur

Exclusions spécifiques de DoS :

  • DoS via des entrées malformées ou des téléchargements de fichiers conçus déclenchant des erreurs 500

  • DoS via des entrées de mot de passe illimitées ou très longues

  • DoS via l'absence de pagination ou de grandes quantités de contenu généré par les utilisateurs ralentissant les réponses

Critères de disqualification

Les rapports sont disqualifiés s'ils :

  • Ne comportent pas d'instructions de reproduction étape par étape

  • Impliquent l'accès aux comptes d'autres clients

  • Impliquent de l'ingénierie sociale envers le personnel de Level ou ses clients

  • Utilisent des outils d'attaque automatisés contre l'infrastructure de Level

  • Entraînent une fuite, une modification ou une destruction de données utilisateur

FAQ

  • Où dois-je envoyer les rapports de vulnérabilité ? Envoyez un e-mail à [email protected] avec des étapes de reproduction complètes et un scénario d'impact.

  • Avez-vous un programme de prime aux bogues ? Non, nous n'avons pas de programme de prime aux bogues. Contactez [email protected] pour toute question.

  • Puis-je tester sur les comptes d'autres clients ? Non. Les tests doivent être effectués sur vos propres comptes Level. L'accès aux comptes d'autres clients est un critère de disqualification immédiat et peut avoir des conséquences juridiques. Contactez-nous si vous avez besoin d'un environnement bac à sable.

  • Mon rapport inclut des résultats d'un scanner automatisé. Est-ce suffisant ? Seulement si cela est accompagné d'une explication claire de la vulnérabilité, des étapes de reproduction et d'un scénario d'attaque. Un résultat brut de scanner seul ne sera pas traité.

  • Dans quel délai répondrez-vous ? Les délais de réponse ne sont pas garantis. Contactez [email protected] directement si vous avez une divulgation urgente.

Articles connexes
Premiers pas avec Level
Sécurisation de Level
Conformité / Certifications Level
Comptes suspendus
Contribuer à la bibliothèque
Avez-vous trouvé la réponse à votre question ?