Programme de partage des informations sur la vulnérabilité

LiveAgent vise à assurer la sécurité de son service pour tous, et la sécurité des données est de la plus haute importance. Notre programme de divulgation des vulnérabilités vise à minimiser l’impact de toute faille de sécurité sur nos outils ou leurs utilisateurs. Le programme de divulgation de la vulnérabilité de LiveAgent couvre les logiciels partiellement ou principalement écrits par Quality Unit.

Si vous êtes un expert en sécurité et que vous avez découvert une faille de sécurité dans le Service, nous apprécions que vous nous aidiez en la divulguant en privé et que vous nous donniez la possibilité de la corriger avant de publier des détails techniques.

LiveAgent s’engage à collaborer avec les experts en sécurité lorsque des vulnérabilités nous sont signalées, comme décrit ici. Nous validerons, répondrons et corrigerons les vulnérabilités afin de soutenir notre engagement en matière de sécurité et de protection de la vie privée. Nous ne prendrons pas de mesures légales contre, ne suspendrons pas ou ne mettrons pas fin à l’accès au service de ceux qui découvrent et signalent des failles de sécurité de manière responsable. LiveAgent se réserve tous ses droits légaux en cas de non-conformité.

Signalement

Partagez les détails de toute vulnérabilité suspecte avec l’équipe de développement de LiveAgent à l’adresse support@liveagent.com. Veuillez ne pas divulguer publiquement ces détails en dehors de ce processus sans autorisation explicite. En signalant toute vulnérabilité suspecte, veuillez inclure autant d’informations que possible. Si vous souhaitez soumettre plusieurs rapports en même temps, veuillez soumettre seulement un rapport (le plus important si possible) et attendre une réponse.

Compensation

Nous sommes heureux d’offrir une prime pour les informations relatives aux vulnérabilités qui nous aident à protéger nos clients, grâce aux experts en sécurité qui ont choisi de participer à notre programme de prime pour les bugs. La récompense habituelle est de 50 euros par bug soumis et vérifié par notre équipe de développement.

Nous ne récompenserons que le premier rapporteur d’une vulnérabilité. Les doublons ne seront pas récompensés.

Champ d’application

Vous ne pouvez effectuer des tests que sur un compte LiveAgent dont vous êtes le propriétaire ou un agent autorisé par le propriétaire du compte à effectuer de tels tests. Par exemple :

  • *yourdomain*.ladesk.com

Nous vous récompenserons pour les types de vulnérabilités suivants :

  • Remote Command Execution (RCE)
  • SQL Injection
  • Broken Authentication
  • Broken Session Management
  • Access Control Bypass
  • Cross-Site Scripting (XSS)
  • Cross-Site Request Forgery (CSRF)
  • Open URL Redirection
  • Directory Traversal

Les rapports indiquant qu’un pirate peut menacer son propre compte uniquement avec un rôle d’administrateur ne seront pas récompensés par une prime. Les XSS causés par un Admin ne seront pas récompensés par une prime.

Pour être éligible, la vulnérabilité doit exister dans la dernière version publique (y compris les bêtas publiques officiellement publiées) du logiciel. Seules les vulnérabilités de sécurité seront prises en compte. Nous aimerions que les gens signalent d’autres bugs via les canaux appropriés, mais puisque le but de ce programme est de corriger les vulnérabilités de sécurité, seuls les bugs qui conduisent à des vulnérabilités de sécurité seront éligibles pour les récompenses. Les autres bugs seront acceptés à notre discrétion.

Règles

Veuillez respecter les directives suivantes afin de pouvoir bénéficier de récompenses dans le cadre de ce programme :

  • Ne modifiez pas ou ne supprimez pas de façon permanente les données hébergées par LiveAgent.
  • N’accédez pas intentionnellement aux données non publiques de LiveAgent plus qu’il n’est nécessaire pour démontrer la vulnérabilité.
  • Ne pas faire de DDoS ou perturber, interrompre ou dégrader de quelque manière que ce soit nos services internes ou externes.
  • Ne communiquez à aucun tiers les informations confidentielles obtenues auprès de LiveAgent, y compris, mais sans s’y limiter, les informations relatives aux paiements des membres ou des tiers.
  • Les sujets techniques liés aux communications sont hors périmètre. N’envoyez pas de courriels de phishing à quiconque, y compris le personnel, les membres, les fournisseurs ou les partenaires de Quality Unit, et n’utilisez pas d’autres techniques de sociabilisation à leur encontre.

En outre, veuillez nous accorder au moins 90 jours pour corriger la vulnérabilité avant d’en discuter publiquement ou de bloguer à ce sujet. Notre équipe estime que les spécialistes de la sécurité ont le droit de rendre compte de leurs recherches et que la divulgation est très bénéfique, et comprend qu’il s’agit d’une question très subjective de savoir quand et comment retenir des détails pour atténuer le risque que les informations sur la vulnérabilité soient utilisées à mauvais escient. Si vous pensez qu’une divulgation plus précoce est nécessaire, veuillez nous le faire savoir afin que nous puissions entamer une conversation.

Change log

Nous informons publiquement sur tous les problèmes de sécurité corrigés par le biais de notre change log. Les problèmes liés à la sécurité sont signalés par la balise [Security].

Our website uses cookies. By continuing we assume your permission to deploy cookies as detailed in our privacy and cookies policy.