Politique de divulgation de vulnérabilités
1. Introduction
Trading Point Group (ci-après « Trading Point ») reconnaît la nécessité de se rapprocher de la communauté de la cybersécurité pour protéger les données des clients et pour travailler ensemble à développer des solutions et des applications plus sûres. Cette politique est destinée à donner aux chercheurs en sécurité des procédures claires en matière de découverte des vulnérabilités ainsi que nos préférences indiquant comment nous signaler les vulnérabilités trouvées.
Les chercheurs sont encouragés à signaler de leur plein gré les vulnérabilités qu’ils peuvent trouver concernant les systèmes de Trading Point. Cette politique décrit quels sont les systèmes et les types de recherches qui sont couverts par cette politique et comment nous signaler ces vulnérabilités.
L’envoi de signalements de vulnérabilités est soumis aux conditions générales énoncées sur cette page. En envoyant un signalement de vulnérabilité à Trading Point, les chercheurs reconnaissent qu’ils ont lu ces conditions générales et qu’ils les acceptent.
2. Conditions générales
2.1. Règle d‘exonération / autorisation
Lorsque vous effectuez des recherches sur la vulnérabilité, vous faites preuve de bonne foi pour vous conformer à cette politique, nous considérons que votre recherche est :
Autorisée au regard de toute loi anti-piratage applicable et nous ne conseillerons ni n’intenterons pas d’action juridique à votre encontre pour cette recherche.
Autorisée au regard de toute loi anti-contournement et nous ne porterons pas plainte contre vous en raison du contournement de contrôles technologiques.
Légale, utile pour la sécurité globale d’internet et conduite en bonne foi.
Nous exigeons de vous que vous respectiez toutes les lois applicables. Si une action juridique est intentée par un tiers à votre encontre, eu égard aux activités que vous avez conduites en toute bonne foi, conformément à cette politique, nous ferons connaître cette autorisation.
Si, à tout moment, vous avez des inquiétudes ou si vous n’êtes pas certain d’être en adéquation avec cette politique, veuillez nous envoyer un signalement par l’intermédiaire de l’un de nos canaux officiels (comme déterminés ci-après), avant de poursuivre.
Veuillez noter que la règle d’exonération ne s’applique qu’aux réclamations fondées en droit sous le contrôle de l’organisation participant à cette politique et que la politique ne lie pas les tiers indépendants.
2.2. Recommandations
Dans cette politique, le terme « Recherche » renvoie aux activités que vous réalisez :
Nous envoyer un signalement dès que possible après avoir découvert un problème réel ou potentiel de sécurité.
Faire tout votre possible pour éviter les violations de la vie privée, les dégradations de l’expérience utilisateur, les perturbations des systèmes de production et les destructions ou les manipulations de données.
Utiliser uniquement les exploits dans la mesure où cela s’avère nécessaire pour confirmer la présence d’une vulnérabilité. De ne pas utiliser un exploit pour compromettre ou exfiltrer des données, établir un accès permanent en ligne de commande ou utiliser l’exploit comme pivot en direction d’autres systèmes.
Nous vous demandons également de :
Respecter les règles, y compris celles de cette politique et de tout autre accord correspondant. En cas d’incohérence entre la présente politique et toutes autres conditions applicables, les conditions de la présente politique prévaudront.
Uniquement interagir avec vos propres comptes de test.
Limiter la création de compte à deux (2) comptes au total pour tout test.
Uniquement utiliser les canaux officiels pour divulguer et/ou discuter avec nous des informations concernant les vulnérabilités.
Signaler une seule vulnérabilité par envoi, à moins que vous ayez besoin d’une chaîne de vulnérabilités pour démontrer les impacts.
Supprimer définitivement toutes les données extraites pendant la recherche, une fois le signalement envoyé.
Effectuer des tests uniquement sur les systèmes du périmètre des recherches et respecter les systèmes et les activités qui n’en font pas partie.
Éviter d’utiliser des outils d’analyse invasifs ou automatisés d’intensité élevée pour trouver des vulnérabilités.
Ne pas divulguer publiquement toute vulnérabilité sans l’accord écrit préalable de Trading Point.
De ne pas effectuer d’attaque « par déni de service ».
De ne pas effectuer des attaques d’ingénierie sociale et/ou de sécurité physique contre les bureaux, les utilisateurs ou les employés de Trading Point.
De ne pas effectuer de test automatisé / scripté des formulaires web, en particulier des formulaires « Nous contacter » qui sont conçus pour que les clients puissent contacter notre équipe expérience client.
Une fois que vous avez établi l’existence d’une vulnérabilité ou que vous rencontrez de manière fortuite toute donnée sensible (dont les données à caractère personnel (DCP), les informations financières, les informations propriétaires ou le secret des affaires de tout parti), vous devez interrompre votre test, nous le signaler immédiatement et ne pas divulguer ces données à quiconque. Vous devez également limiter votre accès aux données minimales nécessaires pour faire la démonstration de la preuve de concept.
2.3. Déclarer une vulnérabilité / canaux officiels
Veuillez signaler les problèmes de sécurité / les découvertes réelles ou potentielles de vulnérabilité via l’adresse vulnerability.disclosure@xm.com, en indiquant toutes les informations nécessaires. Plus vous donnez de détails, plus il sera facile pour nous de trier et de corriger le problème.
Pour nous aider à faire le tri et à prioriser les signalements, nous vous recommandons de :
Décrire l’emplacement ou le chemin de l’application où la vulnérabilité a été découverte ainsi que l’impact potentiel de son exploitation.
Proposer une description détaillée des étapes nécessaires pour reproduire la vulnérabilité (les scripts de preuve de concept ou les captures d’écran sont utiles).
Inclure le plus de détails possible.
Inclure l’adresse IP à partir de laquelle vous avez effectué vos tests, l’adresse email, l’agent utilisateur et les noms d’utilisateur utilisés sur la plateforme de trading (le cas échéant).
Écrire en anglais si possible.
Si vous pensez que la vulnérabilité est sévère ou si elle contient des informations sensibles, vous pouvez envoyer un email crypté avec une empreinte de clé publique à notre équipe en utilisant notre empreinte de clé publique.
2.4. Périmètre
a) Systèmes / services dans le périmètre des recherches
Domaines
https://www.xm.comhttps://my.xm.comAppli Android
Application Android XM (com.xm.webapp)
Appli iOS
Application iOS XM (id1072084799)
b) Systèmes / services hors du périmètre des recherches
Tout service (tels que les services connectés), système ou domaine non expressément listé dans la partie « Systèmes / services dans le périmètre des recherches » ci-dessus est exclu du périmètre des recherches et les tests n’y sont pas autorisés. De plus, les vulnérabilités découvertes dans les systèmes de nos fournisseurs ne relèvent pas du périmètre de cette politique et doivent directement être signalées au fournisseur selon leur politique de divulgation (le cas échéant). Si vous n’êtes pas sûr si un système entre dans le périmètre des recherches ou non, contactez-nous en nous écrivant à vulnerability.disclosure@xm.com.
c) Vulnérabilités dans le périmètre des recherches
Injection SQL
Cross-site scripting (XSS)
Code arbitraire
Server-Side Request Forgery (SSRF)
Authentification et gestion de la session rompue
Insecure Direct Object Reference (IDOR)
Exposition de données sensibles
Directory / Path traversal
Local / Remote File Inclusion
Cross-Site Request Forgery (CSRF) avec un impact fort pouvant être démontré
Open redirect sur des paramètres sensibles
Prise de contrôle sur un sous-domaine (pour une prise de contrôle sur un sous-domaine, ajoutez un message sympathique comme : « Nous travaillons sur ce site et nous serons bientôt à nouveau en ligne ».
d) Vulnérabilités hors du périmètre des recherches
Certaines vulnérabilités sont considérées comme étant hors du périmètre du programme de divulgation de vulnérabilités. Ces vulnérabilités hors périmètre comprennent, mais sans s’y limiter :
Problèmes de configuration des emails, dont paramètres SPF, DKIM et DMARC.
Vulnérabilités des détournements de clic qui ne débouchent pas sur des actions sensibles, comme des modifications de comptes.
Self-XSS (c’est-à-dire quand un utilisateur est amené à coller du code dans son propre navigateur internet).
Usurpation d’identité quand l’impact est minimal (par ex. apport de texte non-HTML).
Cross-Site Request Forgery (CSRF) quand l’impact est minimal (par ex. CSRF dans les formulaires de connexion ou de déconnexion).
Open redirect, à moins qu’un impact supplémentaire sur la sécurité puisse être démontré.
Attaques CRLF quand l’impact est minimal.
Host header injection quand l’impact est minimal.
HttpOnly ou balises de sécurité manquantes sur des cookies non sensibles.
Absence de bonnes pratiques en matière de configuration et de chiffrements SSL/TLS.
Absence ou mauvaise configuration d’en-têtes de sécurité HTTP (par ex. : CSP, HSTS).
Absence de contrôles par CAPTCHA dans les formulaires.
Récupération de nom d’utilisateur / mot de passe via un message d’erreur de la page de connexion.
Récupération de nom d’utilisateur / mot de passe via un message d’erreur mot de passe oublié.
Problèmes qui nécessitent des interactions peu probables avec l’utilisateur.
Complexité des mots de passe ou tout autre problème lié aux politiques concernant les comptes et les mots de passe.
Absence de délai d’expiration de la session.
Attaques par force brute.
Problèmes de rate limiting pour les actions non critiques.
Vulnérabilités de WordPress sans preuve d’exploitabilité.
Divulgation d’une version logicielle vulnérable sans preuve d’exploitabilité.
Toute activité qui peut mener à une interruption de notre service (DoS).
Manque de protection root / bypass de protection root (applications mobiles).
Manque d’ancrage (pinning) du certificat SSL / bypass d’ancrage (pinning) du certificat SSL (applications mobiles).
Manque d’offuscation (applications mobiles).
2.5. Temps de réponse
Trading Point s’engage à se mettre en relation avec vous aussi ouvertement et aussi rapidement que possible et fera tout son possible pour atteindre les objectifs de réponse suivants pour les chercheurs participant à notre programme :
L’accusé de réception (à compter du jour de l’envoi du signalement) se fait dans les trois (3) jours ouvrables : nous accuserons bonne réception de votre signalement.
Le tri (à compter du signalement) se fait dans les cinq (5) jours ouvrables.
Dans la mesure du possible, nous vous confirmerons l’existence de la vulnérabilité et nous serons les plus transparents possible concernant les étapes suivies pendant la procédure de remédiation, ainsi que les questions ou problèmes qui peuvent retarder cette résolution. Nous essaierons de vous tenir informé de notre progression au cours de cette procédure.
3. Récompenses
Nous apprécions les personnes qui prennent le temps et font l’effort de nous signaler les vulnérabilités de sécurité, conformément à cette politique. Cependant, nous n’offrons actuellement pas de récompenses pour les divulgations de vulnérabilités. Ce point est susceptible de modifications ultérieures.
4. Suggestions
Si vous souhaitez envoyer des suggestions ou des commentaires sur cette politique, n’hésitez pas à nous contacter en écrivant à : vulnerability.disclosure@xm.com.
Merci de nous aider à garder Trading Point et nos clients en sécurité.
5. Empreinte de clé publique (PGP)
F096 4A0E CA36 A301 18DF A742 DE89 DE1C 5283 013F
Remarque : veuillez crypter vos messages avec l’empreinte de clé publique (PGP) ci-dessus et inclure votre propre clé publique dans l’email.