Divulgation Responsable

Pour assurer une banque sécurisée pour nos clients, nous améliorons continuellement nos systèmes et processus pour maintenir leur fiabilité. Cependant si vous remarquez une vulnérabilité dans un de nos systèmes, faites nous savoir.

 

Travailler avec nous pour trouver une solution

Tout le monde peut faire des erreurs et cela peut aussi nous arriver. Si vous divulguez publiquement des vulnérabilités de nos systèmes informatique sans nous faire part en premier, ceci peut avoir des conséquence sérieuses. Des criminels peuvent utiliser ces informations pour commettre des fraudes par exemple. Afin de prévenir cela, nous vous demandons de nous contacter et nous aider à trouver une solution. Nous pouvons alors, ensemble, prendre des mesures pour éviter des fraudes et des pannes de nos systèmes.

 

Signaler des vulnérabilités

Que pouvez-vous signaler ?

Vous pouvez signaler autant de vulnérabilité sur nos systèmes informatiques que possible. Si vous identifié une vulnérabilité, merci de nous contacter dès que possible.

Par exemple:

  • Cross-Site Scripting vulnerabilities (i.e. Stored, Reflected);
  • SQL Injection vulnerabilities;
  • Encryption weaknesses;
  • Remote Code Execution;
  • Authentication Bypass, Unauthorized data access;
  • XML External Entity;
  • S3 Bucket Upload;
  • Server-Side Request Forgery

Ce qui ne sera pas accepté

  • "Self" XSS;
  • HTTP Host Header XSS without working proof-of-concept;
  • Incomplete/Missing SPF/DKIM;
  • Social Engineering attacks;
  • Denial of Service attacks.

Les règles

Voici les règles pour assurer une divulgation responsable :

  1. Être responsable et prudent
  2. Utiliser les méthodes strictement nécessaire pour trouver ou identifier les vulnérabilités 
  3. S’assurer que vos propres systèmes sont protégés du mieux possible
  4. Utiliser les vulnérabilité que vous avez identifié pour vos propres investigations et jamais pour une autre finalité
  5. Ne pas utiliser d’ingénierie sociale ou d’attaque par force brute pour obtenir l’accès au système
  6. Ne pas installer de porte dérobée dans un système, même dans l’intention de démontrer la vulnérabilité car une porte dérobée rend le système encore plus risqué
  7. Ne pas changer ou supprimer des détails sur le système
  8. Ne jamais copier plus de données que nécessaire. Si un enregistrement est suffisant pour votre investigation, ne pas en copier davantage.
  9. Ne pas pénétrer un système plus souvent que nécessaire
  10. Ne pas partager l’accès que vous avez obtenu à d’autres

Comment signaler une vulnérabilité ?

A. Fournir les informations suivants dans un document de votre choix :
  1. Quel est le domaine concerné par votre rapport ?
  2. Pouvez-vous décrire les étapes réalisées ?
  3. Quels sont les objets utilisés (ex. champs input ou filtres) ?
  4. Quel est l'URL complète ?
  5. Pouvez-vous ajouter une capture d'écran de l'action réalisée avec succès ?
  6. Quel navigateur et quelle version utilisez-vous ?
  7. Quel système d'exploitation d'exploitation utilisez-vous ?
  8. Quel programme, script ou code avez-vous utilisé ?
  9. Quels sont vos nom, prénom, e-mail et numéro de téléphone ?
B. Chiffrer votre rapport avec la clé PGP (ID 0x576934A2) :   télécharger
C. Envoyer le rapport à l’adresse :  responsible.disclosure@fr.abnamro.com  

Ce qui arrivera à votre rapport

 

Nous allons vos contacter

Une équipe d’expert en sécurité sera en charge d’analyser votre rapport et vous contacter dans les 2 jours ouvrables. Cela peut concerner les vulnérabilités identifiés, les méthodes d’identification ou tout autres étapes.

Votre vie privée

Vos données personnelles seront utilisées uniquement pour réaliser les actions suite aux informations que vous fournissez dans votre rapport. Par principe, nous n’allons pas partager vos données personnelles avec des tiers sans votre permission.

Important

 

Suivez les règles

Pendant vos investigations, vous pourriez effectuer des actions qui peuvent être punies par la loi. Tant que vous respectez les règles pour signaler des vulnérabilités sur nos systèmes, il n’y aura de plainte ou de demande des dédommagements.

Infractions punissables

Nous ne pouvons pas garantir que vous ne serez pas poursuivi si vous commentez des infractions punissables pendant vos investigations, même si nous ne signalons pas le rapport comme une infraction. Le procureur de la république a toujours la décision finale d’engager des poursuites ou non. Nous ne pouvons pas intervenir.

Foire Aux Questions

Oui, vous pouvez peut être avoir une récompense pour votre investigation. Cependant, nous ne sommes pas obligé. Vous n’êtes pas automatiquement éligible à une récompense. Le montant de la récompense n’est pas fixé à l’avance et est déterminé par nous. Le fait d’attribuer ou non une récompense ainsi que son montant dépend de plusieurs facteurs, notamment :
  • l’attention avec laquelle vous avez mené votre investigation ;
  • la qualité des informations fournies ;
  • la quantité de dommage ou de perte que vous nous évitez en partageant votre investigation.

Ne jamais publier vos investigations ou vulnérabilité dans nos systèmes sans en avoir discuté avec nous en premier. Cela nous aidera à éviter que des criminels utilisent ces informations. Il est nécessaire d’en discuter avec nos experts en sécurité et nous donner le temps de résoudre le problème.

Oui. Vous n’êtes pas obligé de fournir vos nom et contact quand vous envoyez votre rapport. Gardez en tête, cependant, que sans ces informations de contact, nous ne pourrons pas discuter de la suite des actions avec vous, notamment du traitement du rapport, de la collaboration future, de la reconnaissance et de toute récompense.